خسرت Summer.fi، وهي منصة تجميع عوائد DeFi، حوالي 6 ملايين دولار في 6 يوليو في هجوم قرض سريع مشتبه به استهدف عقود Lazy Summer الذكية، وفقاً لمنصة أمن Web3 Blockaid. حدث الاستغلال بعد أن بدأت محفظة ممولة عبر FixedFloat على شبكة Base معاملة مشبوهة على إيثريوم، حيث قامت بالتلاعب بآلية محاسبة حصص الخزينة من خلال استغلال ثغرات أسعار الأصول. تتيح الهجمات بالقروض السريعة للمهاجمين اقتراض كميات كبيرة من رأس المال وسدادها ضمن معاملة بلوكتشين واحدة، مما يسمح بتشويه مؤقت لظروف السيولة أو التسعير دون الحاجة إلى تعرض مالي طويل الأجل يتجاوز رسوم المعاملات.
Blockaid وPeckShield تحددان التلاعب بمحاسبة الخزينة
حدد نظام كشف الاستغلال التابع لـ Blockaid الهجوم الجاري، وأفاد بأن التحليل الأولي يشير إلى أن المهاجم استغل ثغرة في آلية محاسبة حصص الخزينة من خلال التلاعب بأسعار الأصول. تم تحويل الأموال المسروقة لاحقاً إلى DAI ونقلها إلى عنوان يسيطر عليه المهاجم.
حددت PeckShield الخزينة المتأثرة الرئيسية باسم LazyVault_LowerRisk_USDC (LVUSDC)، والتي تديرها Block Analitica. أثناء الحادثة، ارتفع العائد السنوي المئوي (APY) المعروض للخزينة لفترة وجيزة إلى حوالي 2.08 مليون، مما يعكس الحالة غير الطبيعية للبروتوكول. كما أشارت PeckShield إلى أن أحد أكبر حاملي الخزينة، وهي محفظة يُعتقد أنها مرتبطة بـ Torben Jorgensen (UDHC)، قد أودع ما يقرب من 8.6 مليون USDC في الخزينة المتأثرة.
CertiK تتعقب معاملة قرض سريع بقيمة 65.4 مليون دولار
أشارت CertiK إلى معاملة مشبوهة تتوافق مع هجوم قرض سريع. ووفقاً لتحليل الشركة، حصل المهاجم على قرض سريع بقيمة حوالي 65.4 مليون دولار واستخدم الأموال المقترضة للتلاعب بالسيولة عبر مجمعات DAI/USDC التابعة لـ Curve وخزائن Morpho V2. يُعتقد أن الاستغلال أساء استخدام آلية إلغاء تخصيص الخزينة، مما مكن المهاجم من التلاعب بمحاسبة الحصص قبل الحصول على أرباح بقيمة 6 ملايين دولار. تم سداد القرض السريع ضمن نفس معاملة البلوكتشين، مما يعني أن المهاجم لم يحتاج إلى التزام رأس ماله الخاص بما يتجاوز رسوم المعاملات.
تقدم Summer.fi خدمات تجميع العوائد وإدارة الخزائن الآلية، وتقدم بنية تحتية تركز على المؤسسات لمستخدمي DeFi. تمكن المستخدمين من اقتراض العملات المستقرة، وإدارة المراكز ذات الرافعة المالية، وكسب العوائد من خلال التكامل مع بروتوكولات DeFi متعددة. لم يعلق المشروع علناً على الحادثة وقت النشر.
الأسئلة الشائعة
ماذا حدث لـ Summer.fi في 6 يوليو؟
خسرت Summer.fi حوالي 6 ملايين دولار في هجوم قرض سريع مشتبه به استغل ثغرة في آلية محاسبة حصص خزينة عقود Lazy Summer الذكية، وفقاً لـ Blockaid.
كيف نفذ المهاجم استغلال Summer.fi؟
وفقاً لتحليل CertiK، حصل المهاجم على قرض سريع بقيمة حوالي 65.4 مليون دولار، واستخدم الأموال المقترضة للتلاعب بالسيولة عبر مجمعات DAI/USDC التابعة لـ Curve وخزائن Morpho V2، وأساء استخدام آلية إلغاء تخصيص الخزينة للتلاعب بمحاسبة الحصص، واستخرج أرباحاً بقيمة 6 ملايين دولار، وسدد القرض السريع ضمن نفس معاملة البلوكتشين.
أي خزينة كانت المتأثرة الرئيسية في هجوم Summer.fi؟
حددت PeckShield خزينة LazyVault_LowerRisk_USDC (LVUSDC)، التي تديرها Block Analitica، باعتبارها الخزينة المتأثرة الرئيسية، حيث ارتفع عائدها السنوي المئوي لفترة وجيزة إلى حوالي 2.08 مليون أثناء الحادثة.