Втрата $6 млн з автоматизованих сховищ Summer.fi стала попередженням для індустрії: найбільшою загрозою є вже не помилки у смартконтрактах, а код, який перерозподіляє ваші гроші без запиту.
Компанія Blockaid повідомила про експлойт 6 липня, оцінивши, що з протоколу вже вивели близько $6 млн. Фірма з безпеки опублікувала транзакцію експлойту, адресу зловмисника та конкретні контракти, яких торкнулася атака – постраждали як Summer.fi, так і її протокол Lazy Summer. Ончейн-дані показують успішний переказ в Ethereum о 05:17:59 за UTC.
Summer.fi визнала інцидент через кілька годин. Охоронці протоколу заморозили всі сховища в Lazy Summer, поки команда розслідує першопричину. Остаточна сума збитків і точна вразливість залишаються непідтвердженими до завершення повного аналізу.
Експлойт націлений на конструктивну особливість, яку багато вкладників ніколи не бачать.
Сховища Lazy Vaults від Summer.fi, також відомі як Fleets, розроблені за принципом «налаштуй і забудь». Вони автоматично перерозподіляють активи за допомогою багаторівневої системи: Fleet Commander керує депозитами та розподілом; ARKs реалізують дохідні стратегії; RAFT збирає та реінвестує винагороди. ШІ-агент Keeper може переміщувати активи між ARKs у межах, встановлених управлінням.
Саме цей ланцюжок довіри став ціллю атаки. Вкладник покладається на облік паїв, контракти стратегій, логіку кіпера, ліміти управління та механізми екстреної зупинки – і все це переміщує капітал без ручного схвалення.
Цей інцидент стався після важкого кварталу для безпеки DeFi. За аналізом CryptoSlate, загальні відомі збитки від зламів лише у другому кварталі сягнули $780,3 млн. Характер атак змінюється: флеш-кредити та експлойти мостів відходять на другий план, але логічні помилки, особливо в автоматизованих системах, стримувати складніше.
Наразі користувачам варто очікувати на звіт від Summer.fi. Протокол має аудити та програму винагород на Immunefi, але ця подія показує, що «проаудитований» і «безпечний» – це не одне й те саме, коли поверхнею атаки є автоматизація.
SummerFi втратила $6 млн: ризики автоматизованих DeFi-сервісів
Автоматизовані депозитні фонди SummerFi втратили близько $6 млн через вразливість у програмному забезпеченні, яке керує активами без схвалення користувача. Інцидент зачепив вкладників, які довіряли системі, та підняв питання про приховані ризики в автоматизованих криптосервісах.