Sicherheitsfirmen melden Sicherheitslücke
Blockchain-Sicherheitsfirmen meldeten am Montag, dem 6. Juli, eine schwerwiegende Sicherheitslücke, die auf „Summer Finance“, ein Protokoll zur Ertragsoptimierung im Bereich der dezentralen Finanzen (DeFi), abzielte. Laut Echtzeit-On-Chain-Analysen, auf die Sicherheitsüberwacher hingewiesen hatten, erlitt das Protokoll durch einen ausgeklügelten Angriff mittels Flash-Kredit und Kursmanipulation einen geschätzten Verlust von 6 Millionen US-Dollar.
Nach den Warnmeldungen bestätigte das Summer-Finance-Team den Sicherheitsverstoß und erklärte: „Wir sind uns des heute etwas früher gemeldeten Exploits bewusst und untersuchen die Ursache. Die Protokollwächter setzen derzeit alle Vaults im gesamten Lazy-Summer-Protokoll aus. Wir werden weitere Updates bereitstellen, sobald wir diese haben.“
Der Exploit umfasste eine mehrstufige Manipulation der Buchhaltungslogik des Protokolls. Eine Analyse des Blockchain-Sicherheitsunternehmens Certik ergab, dass der Angreifer einen Flash-Kredit in Höhe von 65,4 Millionen US-Dollar initiierte, um das Rahmenwerk zur Vermögensbewertung des „Lazy Summer Protocol“-Vaults zu verzerren, der unter Summer.fi verwaltet wird.
Durch Ausnutzung einer Schwachstelle in der Vermögensabrechnungslogik des „Fleet Commander“-Vertrags verzerrte der Angreifer künstlich die Berechnung des Token-Werts durch das System. Nachdem er rund 64,8 Millionen US-Dollar in das manipulierte Ökosystem eingezahlt hatte, führte der Angreifer ein Arbitrage-Manöver durch, um Vermögenswerte im Wert von 70,9 Millionen US-Dollar einzulösen.
Laut Cyvers tauschte der Angreifer den daraus resultierenden Gewinn von 6 Millionen US-Dollar rasch in DAI-Stablecoins um, bevor er die gestohlenen Gelder in eine von ihm kontrollierte Wallet leitete, um die Spuren zu verwischen.
Während die Entwickler von Summer Finance die zugrunde liegenden Schwachstellen untersuchen, um einen umfassenden Nachbericht zu veröffentlichen, verdeutlicht der Vorfall einen zunehmenden Trend zu komplexen Arbitrage-Manipulationen auf Infrastrukturebene. Unterdessen forderten Sicherheitsexperten die Teilnehmer dringend auf, unverzüglich Abwehrmaßnahmen zu ergreifen, darunter den Widerruf von Berechtigungen oder die Aufhebung aller aktiven Smart-Contract-Genehmigungen, die mit den betroffenen „Lazy Summer Protocol“-Tresoren verbunden sind.
Experten rieten den Teilnehmern zudem, jegliche Kommunikation ausschließlich über offizielle Projektkanäle zu verifizieren, um Phishing-Angriffe zu vermeiden, und in Erwägung zu ziehen, digitale Vermögenswerte aus Online-„Hot Wallets“ in Offline-Cold-Storage-Lösungen zu verlagern, bis die Kernentwicklungsteams die zugrunde liegenden Protokolle gepatcht haben.