Powrót do Wiadomości

SummerFi traci 6 mln USD – awaria zautomatyzowanego vaultu obnaża ryzyko pasywnych funduszy krypto

Zautomatyzowane fundusze depozytowe SummerFi straciły około 6 mln dolarów z powodu słabości oprogramowania zarządzającego przesunięciami aktywów bez zgody użytkowników. Dotyka to deponentów, którzy powierzyli systemowi swoje pieniądze, i budzi obawy o ukryte ryzyko w zautomatyzowanych usługach kryptowalutowych.
Wyciek 6 mln dolarów ze zautomatyzowanych vaultów Summer.fi postawił branżę w stan gotowości: błędy smart kontraktów nie są już największym zagrożeniem – kod, który przemieszcza Twoje środki bez pytania, może nim być.

Blockaid wykrył exploit 6 lipca, szacując, że z protokołu wypłynęło już około 6 milionów dolarów. Firma bezpieczeństwa opublikowała transakcję exploita, adres atakującego i konkretne kontrakty, których dotyczył – zaatakowane zostały zarówno Summer.fi, jak i jego protokół Lazy Summer. Zapis on-chain pokazuje pomyślny transfer w sieci Ethereum o godz. 05:17:59 UTC.

Summer.fi potwierdziło incydent kilka godzin później. Strażnicy protokołu zamrozili wszystkie vaulty w ramach Lazy Summer, podczas gdy zespół bada przyczynę źródłową. Ostateczna wartość strat i dokładna luka w zabezpieczeniach pozostają niepotwierdzone do czasu pełniejszego przeglądu.

Exploit celuje w mechanizm, którego wielu deponentów nigdy nie widzi.

Lazy Vaults Summer.fi – nazywane też Fleets – mają działać na zasadzie „ustaw i zapomnij”. Automatycznie równoważą alokację przy użyciu warstwowego systemu: Fleet Commander zarządza wpłatami i alokacją; ARK-i realizują strategie generowania zysku; RAFT zbiera i reinwestuje nagrody. Agent AI Keeper może przesuwać aktywa między ARK-ami w ramach limitów ustalonych przez zarządzanie.

Ten łańcuch zaufania jest dokładnie tam, gdzie nastąpił atak. Deponent polega na księgowości udziałów, kontraktach strategicznych, logice keepera, limitach zarządzania i hamulcach awaryjnych – wszystko przesuwa kapitał bez ręcznego zatwierdzenia.

Incydent następuje po brutalnym kwartale dla bezpieczeństwa DeFi. Własna analiza CryptoSlate oszacowała łączne znane straty z hacków na 780,3 mln dolarów tylko w drugim kwartale. Zmienia się schemat: ataki typu flash loan i exploity na mostach tracą na znaczeniu, ale błędy logiczne – zwłaszcza w zautomatyzowanych systemach – trudniej opanować.

Na razie użytkownicy powinni śledzić raport pośmiertny Summer.fi. Protokół ma audyty i program nagród Immunefi, ale to zdarzenie pokazuje, że „audytowany” nie oznacza „bezpieczny”, gdy powierzchnią ataku jest automatyzacja.

Powiązane wiadomości