DeFi 新闻
7月6日,一个名为 Summer Finance(又称 Summer(dot)fi)的 DeFi 收益优化协议遭到攻击,损失达600万美元。攻击者操纵了该协议计算其金库内资产的方式。区块链安全公司 Blockaid 于当日清晨检测到此次入侵并公开示警,随后其他链上分析师也展开了调查。
该协议运行着一个名为“懒人夏季协议”(Lazy Summer Protocol)的自动化系统,该系统利用 AI 守护者(keeper)在多个借贷平台之间分配和重新平衡用户存款,以寻求更高回报。攻击者利用了该核心系统的会计逻辑漏洞,提取的资金超过了其存入的金额。
攻击者使用6540万美元闪电贷操纵金库
据区块链安全公司 CertiK 称,攻击者通过闪电贷借入6540万美元,并向该协议存入6480万美元。通过扭曲一个名为 Fleet Commander 的智能合约所使用的 totalAssets() 函数,攻击者赎回了7090万美元,净赚600万美元。Fleet Commander 负责管理该协议的金库并计算其价值。
这种扭曲是通过另一个名为 Ark 的组件实现的,该组件将每个金库与底层的借贷协议连接起来。CertiK 表示,攻击者事先在 Silo: Varlamore USDC Growth 金库中积累了一个仓位,然后在交易之间向 Ark 捐赠资产,从而扭曲了 Fleet Commander 所依赖的会计数据。
安全公司 Cyvers 单独将此次攻击向量识别为一种通过价格操纵利用的份额会计漏洞。攻击完成后,攻击者将盗取的资金转换为 DAI 稳定币,并将其转移到其控制下的一个地址。

来源:Cyvers Alerts
Summer(dot)fi 尚未正式确认此次攻击
截至报道时,Summer(dot)fi 尚未通过其官方渠道发布确认信息,根本原因也尚未得到官方核实。
相关文章:
据 CertiK 称,5月份加密货币攻击损失下降90%,降至6830万美元
闪电贷攻击不需要攻击者预先准备资金,因为借入的资金会在单笔交易中借入并归还。在此案例中,会计扭曲使得攻击者能够在贷款结算前提取超出其存入价值的资金。

交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注