Summer.fi mất $6M trong vụ tấn công vay flash trên Vault DeFi

ETH1,48%
CRV-1,78%
MORPHO3,86%

Summer.fi, một nền tảng tổng hợp lợi suất DeFi, đã mất khoảng 6 triệu USD vào ngày 6 tháng 7 trong một vụ tấn công flash loan nghi ngờ nhắm vào các hợp đồng thông minh Lazy Summer, theo nền tảng bảo mật Web3 Blockaid. Vụ khai thác xảy ra sau khi một ví được cấp vốn thông qua FixedFloat trên mạng Base khởi tạo một giao dịch đáng ngờ trên Ethereum, thao túng cơ chế kế toán cổ phần vault bằng cách khai thác lỗ hổng giá tài sản. Các cuộc tấn công flash loan cho phép kẻ tấn công vay một lượng vốn lớn và trả nợ trong cùng một giao dịch blockchain, cho phép bóp méo tạm thời thanh khoản hoặc điều kiện định giá mà không yêu cầu rủi ro tài chính dài hạn ngoài phí giao dịch.

Blockaid và PeckShield xác định thao túng kế toán vault

Hệ thống phát hiện khai thác của Blockaid đã xác định được cuộc tấn công đang diễn ra, báo cáo rằng phân tích ban đầu chỉ ra kẻ tấn công đã khai thác lỗ hổng trong cơ chế kế toán cổ phần vault bằng cách thao túng giá tài sản. Số tiền bị đánh cắp sau đó được chuyển đổi thành DAI và chuyển đến một địa chỉ do kẻ tấn công kiểm soát.

Công ty bảo mật blockchain PeckShield xác định vault bị ảnh hưởng chính là LazyVault_LowerRisk_USDC (LVUSDC), do Block Analitica quản lý. Trong sự cố, lợi suất phần trăm hàng năm (APY) hiển thị của vault tạm thời tăng vọt lên khoảng 2,08 triệu, phản ánh trạng thái bất thường của giao thức. PeckShield cũng lưu ý rằng một trong những người nắm giữ lớn nhất của vault, một ví được cho là liên kết với Torben Jorgensen (UDHC), đã gửi khoảng 8,6 triệu USDC vào vault bị ảnh hưởng.

CertiK truy vết giao dịch flash loan 65,4 triệu USD

CertiK chỉ ra một giao dịch đáng ngờ phù hợp với một cuộc tấn công flash loan. Theo phân tích của công ty, kẻ tấn công đã vay một khoản flash loan trị giá khoảng 65,4 triệu USD và sử dụng số tiền vay để thao túng thanh khoản trên các pool DAI/USDC của Curve và các vault Morpho V2. Vụ khai thác được cho là đã lạm dụng cơ chế phân bổ vault, cho phép kẻ tấn công thao túng kế toán cổ phần trước khi rút ra 6 triệu USD lợi nhuận. Khoản flash loan đã được trả lại trong cùng một giao dịch blockchain, nghĩa là kẻ tấn công không cần cam kết vốn của mình ngoài phí giao dịch.

Summer.fi cung cấp các dịch vụ tổng hợp lợi suất và quản lý vault tự động, cung cấp cơ sở hạ tầng tập trung vào tổ chức cho người dùng DeFi. Nó cho phép người dùng vay stablecoin, quản lý các vị thế đòn bẩy và kiếm lợi suất thông qua tích hợp với nhiều giao thức DeFi. Dự án chưa đưa ra bình luận chính thức về sự cố tại thời điểm xuất bản.

FAQ

Điều gì đã xảy ra với Summer.fi vào ngày 6 tháng 7?

Summer.fi đã mất khoảng 6 triệu USD trong một vụ tấn công flash loan bị nghi ngờ khai thác lỗ hổng trong cơ chế kế toán cổ phần vault của hợp đồng thông minh Lazy Summer, theo Blockaid.

Kẻ tấn công đã thực hiện vụ khai thác Summer.fi như thế nào?

Theo phân tích của CertiK, kẻ tấn công đã vay một khoản flash loan trị giá khoảng 65,4 triệu USD, sử dụng số tiền vay để thao túng thanh khoản trên các pool DAI/USDC của Curve và các vault Morpho V2, lạm dụng cơ chế phân bổ vault để thao túng kế toán cổ phần, rút ra 6 triệu USD lợi nhuận và trả lại flash loan trong cùng một giao dịch blockchain.

Vault nào bị ảnh hưởng chính trong vụ tấn công Summer.fi?

PeckShield xác định LazyVault_LowerRisk_USDC (LVUSDC), do Block Analitica quản lý, là vault bị ảnh hưởng chính, với lợi suất phần trăm hàng năm tạm thời tăng vọt lên khoảng 2,08 triệu trong sự cố.

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ các nguồn bên thứ ba và chỉ mang tính chất tham khảo. Thông tin này không phản ánh quan điểm hoặc ý kiến của Gate và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Giao dịch tài sản ảo tiềm ẩn rủi ro cao. Vui lòng không chỉ dựa vào thông tin trên trang này khi đưa ra quyết định. Để biết thêm chi tiết, vui lòng xem Tuyên bố miễn trừ trách nhiệm.
Bình luận
0/400
Không có bình luận