Das DeFi-Protokoll Summer.fi hat seine Lazy Summer Vaults nach einem Exploit pausiert, bei dem etwa 6 Millionen US-Dollar von der auf Ethereum basierenden Yield-Plattform entwendet wurden, wie das Projekt und mehrere Blockchain-Sicherheitsfirmen berichten.
Lazy Summer ist eine automatisierte Renditeplattform, die Einlagen über Kreditmärkte wie Aave und Morpho leitet, um höhere Erträge zu erzielen, und dabei das Rebalancing im Auftrag der Nutzer übernimmt.
Der Vorfall wurde erstmals von der Blockchain-Sicherheitsfirma gemeldetBlockaid, wobei auch PeckShield und CertiK über verdächtige Aktivitäten berichten. Später Summer.fibestätigt Es wurde eine Untersuchung des Angriffs eingeleitet, und die Protokollverwalter haben die betroffenen Tresore pausiert, um weitere Verluste zu verhindern.
Frühe Analysen deuten darauf hin, dass der Angreifer genutzt hatein großer Flash-Loan-Angriff, der Berichten zufolge über Morpho initiiert wurde, um die Buchhaltungslogik der automatisierten USDC-Tresore von Lazy Summer zu manipulieren.
DeFi-Sicherheitsforscher Bhari bemerkte dass die Schwachstelle im Code ausgenutzt wurde, um die Gesamtvermögenswerte aufzublähen, die dann mit einem Nettogewinn zurückgefordert werden konnten. Die gestohlenen Mittel wurden offensichtlich zuerst in DAI auf Curve umgewandelt, bevor sie an die Wallet des Angreifers transferiert wurden.
Das Protokoll verfügte vor dem Exploit über ein gesamtes verwahrtes Vermögen von 22 Millionen US-Dollar, so DeFiLlama Daten. Der SUMR-Token des Protokolls verlor mehr als 18 % seines Werts, nachdem die Sicherheitslücke aufgedeckt wurde.