Назад к новостям

SummerFi потерял $6 млн из-за сбоя в хранилище, выявив риски DeFi

Автоматизированные депозитные фонды SummerFi потеряли около $6 миллионов из-за уязвимости в программном обеспечении, которое управляет перемещением активов без одобрения пользователя. Это затронуло вкладчиков, которые доверяли системе безопасное управление своими деньгами, и вызвало обеспокоенность по поводу скрытых рисков в автоматизированных криптосервисах.
Утечка $6 миллионов из автоматизированных хранилищ Summer.fi стала предупреждением для всей индустрии: ошибки в смарт-контрактах больше не являются главной угрозой – теперь ею может быть код, который ребалансирует ваши деньги без запроса.

Компания Blockaid сообщила об эксплойте 6 июля, оценив, что из протокола уже было выведено около $6 миллионов. Фирма по безопасности опубликовала транзакцию эксплойта, адрес злоумышленника и затронутые контракты – пострадали как Summer.fi, так и его протокол Lazy Summer. Запись в блокчейне показывает успешный перевод Ethereum в 05:17:59 UTC.

Summer.fi признал инцидент несколько часов спустя. Хранители протокола заморозили все хранилища в Lazy Summer, пока команда расследует первопричину. Окончательная сумма потерь и точная уязвимость остаются неподтвержденными до завершения полного анализа.

Эксплойт нацелен на конструктивную особенность, которую многие вкладчики никогда не видят.

Хранилища Lazy Vaults от Summer.fi, также называемые Fleets, должны работать по принципу «установил и забыл». Они автоматически ребалансируются с помощью многоуровневой системы: Fleet Commander управляет депозитами и распределением; ARK реализуют стратегии доходности; RAFT собирает и реинвестирует вознаграждения. Агент Keeper AI может перемещать активы между ARK в пределах лимитов, установленных управлением.

Именно эта цепочка доверия и стала целью атаки. Вкладчик полагается на учет долей, контракты стратегий, логику хранителя, лимиты управления и экстренные тормоза – все это перемещает капитал без ручного одобрения.

Этот инцидент произошел после тяжелого квартала для безопасности DeFi. Собственный анализ CryptoSlate оценил общие известные убытки от взломов только во втором квартале в $780,3 миллиона. Характер атак меняется: флеш-кредиты и эксплойты мостов уходят в прошлое, но логические ошибки, особенно в автоматизированных системах, сдерживать сложнее.

Пока что пользователям следует ожидать отчета о вскрытии от Summer.fi. Протокол прошел аудиты и имеет программу вознаграждений на Immunefi, но это событие показывает, что «проверенный» и «безопасный» – не одно и то же, когда поверхностью атаки является автоматизация.

Связанные новости