Summer.fi'nin otomatik kasalarından 6 milyon dolar çekilmesi, sektöre bir uyarı niteliği taşıyor: Akıllı sözleşme hataları artık en büyük tehdit değil – sizden izin almadan paranızı yeniden dengeleyen kod olabilir.
Blockaid, 6 Temmuz'da bu istismarı tespit ederek protokolden yaklaşık 6 milyon doların çekildiğini tahmin etti. Güvenlik firması, istismar işlemini, saldırganın adresini ve ilgili özel sözleşmeleri yayınladı – hem Summer.fi hem de Lazy Summer protokolü hedef alındı. Zincir üstü kayıtlar, UTC 05:17:59'da başarılı bir Ethereum transferi olduğunu gösteriyor.
Summer.fi, olayı saatler sonra doğruladı. Protokol yöneticileri, ekip temel nedeni araştırırken Lazy Summer genelindeki tüm kasaları dondurdu. Nihai kayıp rakamı ve kesin güvenlik açığı, daha kapsamlı bir inceleme yapılana kadar teyit edilmedi.
Bu istismar, birçok mevduat sahibinin hiç görmediği bir tasarım özelliğini hedef alıyor.
Summer.fi'nin "Fleets" olarak da adlandırılan Lazy Vaults kasalarının "ayarla ve unut" prensibiyle çalışması gerekiyor. Katmanlı bir sistem kullanarak otomatik olarak yeniden dengeleme yapıyorlar: Bir Fleet Commander mevduatları ve tahsisleri yönetiyor; ARK'lar getiri stratejilerini yürütüyor; RAFT ise ödülleri toplayıp bileşik hale getiriyor. Bir Keeper AI Agent, yönetişim tarafından belirlenen sınırlar dahilinde ARK'lar arasında varlıkları kaydırabiliyor.
Saldırı tam da bu güven zincirine yapıldı. Bir mevduat sahibi, pay muhasebesine, strateji sözleşmelerine, keeper mantığına, yönetişim limitlerine ve acil durum frenlerine güveniyor – tüm bu unsurlar sermayeyi manuel onay olmadan hareket ettiriyor.
Bu olay, DeFi güvenliği için zorlu geçen bir çeyreğin ardından geldi. CryptoSlate'in kendi analizi, sadece ikinci çeyrekte bilinen toplam hack kayıplarını 780,3 milyon dolar olarak belirledi. Eğilim değişiyor: Flaş kredi ve köprü istismarları azalırken, özellikle otomatik sistemlerdeki mantık hatalarını kontrol altına almak daha zor hale geliyor.
Şimdilik kullanıcılar, Summer.fi'nin olay sonrası analizini beklemeli. Protokolün denetimleri ve Immunefi ödül programı kayıtlarda mevcut, ancak bu olay, otomasyon saldırı yüzeyi olduğunda "denetlenmiş" ile "güvenli" olmanın aynı anlama gelmediğini gösteriyor.
SummerFi, otomasyon hatasıyla 6 milyon dolar kaybetti
SummerFi'nin otomatik mevduat fonları, kullanıcı onayı olmadan varlık transferlerini yöneten yazılımdaki bir zayıflık nedeniyle yaklaşık 6 milyon dolar boşaltıldı. Bu durum, paralarını güvenle yönetmesi için sisteme güvenen mevduat sahiplerini etkiliyor ve otomatik kripto hizmetlerindeki gizli risklere dair endişeleri artırıyor.