Las empresas de seguridad alertan de la brecha
Las empresas de seguridad de blockchain informaron el lunes 6 de julio de una importante brecha de seguridad dirigida contra Summer Finance, un protocolo de optimización de rendimiento de las finanzas descentralizadas (DeFi). Según los análisis en cadena en tiempo real señalados por los monitores de seguridad, el protocolo sufrió una pérdida estimada de 6 millones de dólares a causa de un sofisticado ataque mediante un préstamo flash y manipulación de precios.
Tras las alertas, el equipo de Summer Finance confirmó la brecha de seguridad y declaró: «Somos conscientes del exploit del que se ha informado hoy a primera hora y estamos investigando la causa raíz. Los guardianes del protocolo están suspendiendo actualmente todas las «Vaults» del Lazy Summer Protocol. Proporcionaremos más información a medida que la tengamos».
El ataque consistió en una manipulación en varias etapas de la lógica contable del protocolo. Un análisis realizado por la empresa de seguridad de blockchain Certik reveló que el atacante inició un préstamo relámpago de 65,4 millones de dólares para distorsionar el marco de valoración de activos de la caja fuerte del Lazy Summer Protocol, gestionada por Summer.fi.
Al aprovechar una vulnerabilidad en la lógica de contabilidad de activos del contrato «Fleet Commander», el atacante sesgó artificialmente la forma en que el sistema calculaba el valor de los tokens. Tras depositar aproximadamente 64,8 millones de dólares en el ecosistema manipulado, el atacante ejecutó una maniobra de arbitraje para canjear 70,9 millones de dólares en activos.
Según Cyvers, el atacante cambió rápidamente los 6 millones de dólares de beneficio resultantes por stablecoins DAI antes de desviar los fondos robados a un monedero controlado por él para borrar el rastro.
Mientras los desarrolladores de Summer Finance investigan las vulnerabilidades subyacentes para publicar un informe exhaustivo de análisis a posteriori, el incidente pone de relieve una tendencia al alza de manipulaciones de arbitraje complejas a nivel de infraestructura. Mientras tanto, los expertos en seguridad instaron a los participantes a tomar medidas defensivas inmediatas, como revocar permisos o cancelar cualquier aprobación activa de contratos inteligentes vinculada a las cajas fuertes afectadas del protocolo Lazy Summer.
Los expertos también aconsejaron a los participantes que verificaran todas las comunicaciones exclusivamente a través de los canales oficiales del proyecto para evitar ataques de phishing, y que consideraran trasladar los activos digitales de las carteras «activas» en línea a un almacenamiento «frío» fuera de línea hasta que los equipos de desarrollo principales corrijan los protocolos subyacentes.