Voltar para Notícias

SummerFi perde $6M por falha em cofre automatizado, expondo riscos

Os fundos de depósito automatizados da SummerFi perderam cerca de US$ 6 milhões devido a uma fraqueza no software que gerencia as movimentações de ativos sem a aprovação do usuário. Isso afeta os depositantes que confiaram no sistema para lidar com seu dinheiro de forma segura e levanta preocupações sobre riscos ocultos em serviços de cripto automatizados.
Uma perda de US$ 6 milhões nos cofres automatizados da Summer.fi colocou a indústria em alerta: bugs em contratos inteligentes não são mais a maior ameaça – o código que rebalanceia seu dinheiro sem pedir permissão pode ser.

A Blockaid indica o exploit em 6 de julho, estimando que aproximadamente US$ 6 milhões já haviam saído do protocolo. A empresa de segurança publicou a transação do exploit, o endereço do invasor e os contratos específicos envolvidos – tanto a Summer.fi quanto seu protocolo Lazy Summer foram atingidos. O registro on-chain mostra uma transferência bem-sucedida de Ethereum às 05:17:59 UTC.

A Summer.fi reconheceu o incidente horas depois. Os guardiões do protocolo congelaram todos os cofres do Lazy Summer enquanto a equipe investiga a causa raiz. O valor final da perda e a vulnerabilidade exata permanecem não confirmados, aguardando uma análise mais completa.

O exploit visa uma característica de design que muitos depositantes nunca veem.

Os Lazy Vaults da Summer.fi – também chamados de Fleets – devem funcionar no esquema "configure e esqueça". Eles se rebalanceiam automaticamente usando um sistema em camadas: um Fleet Commander lida com depósitos e alocação; os ARKs executam as estratégias de rendimento; o RAFT colhe e compõe as recompensas. Um Agente de IA Keeper pode mover ativos entre os ARKs dentro dos limites estabelecidos pela governança.

Essa cadeia de confiança foi exatamente onde o ataque ocorreu. Um depositante confia na contabilidade de cotas, nos contratos de estratégia, na lógica do keeper, nos limites de governança e nos freios de emergência – tudo movendo capital sem aprovação manual.

O incidente segue um trimestre brutal para a segurança em DeFi. A própria análise do CryptoSlate estimou as perdas totais conhecidas por hacks em US$ 780,3 milhões apenas no segundo trimestre. O padrão está mudando: empréstimos-relâmpago e exploits de pontes estão diminuindo, mas bugs de lógica – especialmente em sistemas automatizados – são mais difíceis de conter.

Por enquanto, os usuários devem aguardar o post-mortem da Summer.fi. O protocolo possui auditorias e um programa de recompensas na Immunefi, mas este evento mostra que "auditado" e "seguro" não são a mesma coisa quando a automação é a superfície de ataque.

Notícias relacionadas