- Протокол Summer.fi подвергся эксплойту, в результате которого злоумышленник похитил около $6 млн
- Атака не связана с компрометацией приватных ключей или административных прав — хакер воспользовался уязвимостью в логике учетных механизмов протокола.
- Для взлома использовали флеш-займ на $65,4 млн в $USDC и $USDT, который вернули в рамках одной транзакции.
DeFi-протокол Summer.fi подвергся атаке. Об этом сообщили компании PeckShieldAlert, Blockaid и CertiK. По данным на момент публикации, злоумышленник похитил около $6 млн в $DAI.
Как произошла атака?
Предварительный анализ основателя Phylax Systems Одиссеаса Ламтзидиса свидетельствует, что причиной стала манипуляция учетными механизмами протокола, а не взлом приватных ключей или административных прав.
Схема атаки выглядела так. Сначала злоумышленник взял флеш-займ — краткосрочный заем, который нужно вернуть в рамках одной транзакции. Сумма составила $65,4 млн: 65,419 млн $USDC и 1 млн $USDT. Флешзаймы часто используют в легитимных DeFi-операциях, однако в данном случае их применили со злонамеренной целью.
Получив средства, хакер воспользовался открытыми механизмами протокола Lazy Summer и VaultV2: внес депозит, погасил токены, вывел средства из разных компонентов системы. Манипулируя тем, как протокол считает балансы и доступную ликвидность внутри одной транзакции, злоумышленник смог выпустить и погасить токены LVUSDC на выгодных для себя условиях.
После возврата флеш-займа контракт обменял полученный излишек $USDC через биржу Curve и отправил более 6 млн $DAI на адрес злоумышленника.
По данным CertiK, общая прибыль атакующего составила около $6 млн при использовании флеш-займа примерно на $65,4 млн. Контракт эксплойта не верифицирован, поэтому точная логика атаки пока неизвестна.