El protocolo de finanzas descentralizadas Summer.fi ha pausado sus bóvedas Lazy Summer tras una explotación que drenó alrededor de $6 millones de la plataforma de rendimiento basada en Ethereum, según el proyecto y varias firmas de seguridad blockchain.
Lazy Summer es una plataforma automatizada de rendimiento que dirige los depósitos a través de mercados de préstamos como Aave y Morpho en busca de mayores rendimientos, mientras gestiona el reequilibrio en nombre de los usuarios.
El incidente fue inicialmente señalado por la empresa de seguridad blockchain Blockaid, con PeckShield y CertiK también reportando actividad sospechosa. Summer.fi posteriormente confirmado estaba investigando el ataque y declaró que los guardianes del protocolo habían pausado las bóvedas afectadas para evitar pérdidas adicionales.
Los primeros análisis sugieren que el atacante aprovechóun gran ataque de préstamo flash, supuestamente originado a través de Morpho, para manipular la lógica contable de las bóvedas automatizadas de USDC de Lazy Summer.
Investigador de seguridad en DeFi Bhari notado que la explotación aprovechó una falla en el código para inflar los activos totales, los cuales luego pudieron canjearse por una ganancia neta. Los fondos robados aparentemente fueron convertidos a DAI en Curve antes de ser transferidos a la cartera del atacante.
El protocolo tenía $22 millones en valor total bloqueado antes de la explotación, según DeFiLlama datos. El token SUMR del protocolo perdió más del 18 % de su valor después de que se descubriera la vulnerabilidad.