Summer.fi: ataque ao cofre de US$ 6 milhões decorre da exploração do mecanismo NAV, não de vulnerabilidade de contrato

robot
Geração do resumo em andamento

ME News消息,7月8日(UTC+8),DeFi收益协议Summer.fi发布600万美元漏洞攻击事后分析报告,2026年7月6日,一名攻击者通过操纵以太坊主网上两个Lazy Summer Protocol USDC金库的份额价格,在单笔原子交易中提取了约604万美元存款人资产。报告显示,攻击者利用了金库净值计算机制的漏洞:将一个此前已被限制存款、正处于下线过程但仍计入净值计算的Silo「Varlamore」金库代币(自2025年11月Stream Finance崩溃后其链上估值一直未被下调)「捐赠」至相关策略适配器,从而人为推高金库份额价格并借此赎回套利,整个操作并非合约代码漏洞,而是策略下线流程未及时完成所致。报告指出,该操作至少经过三个月的前期布局,攻击者通过多个钱包分散积累相关代币以掩盖意图;事件发生后,Guardian多签及基金会已暂停协议全部金库并将存款上限归零,SEAL 911等安全机构已介入协助追踪资金,但攻击者已将部分资金通过Tornado Cash转移,链上追踪难度增加。目前Lazy Summer DAO正就金库解除暂停时间及受影响用户资金处理方案进行评估,尚未公布最终赔付方案。(来源:Foresight News)

Tradução:

Notícias ME News, 8 de julho (UTC+8), o protocolo de rendimentos DeFi Summer.fi publicou um relatório de análise pós-incidente sobre um ataque de vulnerabilidade de US$ 6 milhões. Em 6 de julho de 2026, um atacante manipulou o preço das cotas de dois cofres USDC do Lazy Summer Protocol na mainnet Ethereum, retirando aproximadamente US$ 6,04 milhões em ativos de depositantes em uma única transação atômica. O relatório mostra que o atacante explorou uma vulnerabilidade no mecanismo de cálculo do valor patrimonial líquido do cofre: ele "doou" tokens do cofre Silo "Varlamore" — que já estava com depósitos restritos, em processo de desativação, mas ainda contabilizado no cálculo do valor patrimonial líquido (cuja avaliação on-chain nunca foi ajustada após o colapso do Stream Finance em novembro de 2025) — para o adaptador de estratégia relevante, inflando artificialmente o preço das cotas do cofre e lucrando com a arbitragem de resgate. Toda a operação não foi causada por uma vulnerabilidade no código do contrato, mas sim pela falha em concluir o processo de desativação da estratégia a tempo. O relatório aponta que a operação foi preparada por pelo menos três meses, com o atacante acumulando tokens relacionados de forma dispersa por várias carteiras para ocultar suas intenções. Após o incidente, o multisig Guardian e a fundação pausaram todos os cofres do protocolo e zeraram o limite de depósitos. Organizações de segurança como a SEAL 911 intervieram para ajudar a rastrear os fundos, mas o atacante já transferiu parte dos fundos através do Tornado Cash, aumentando a dificuldade do rastreamento on-chain. Atualmente, a Lazy Summer DAO está avaliando o momento de reativar os cofres e o plano de tratamento dos fundos dos usuários afetados, sem ainda ter divulgado um plano de compensação final. (Fonte: Foresight News)

STREAM-0,95%
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
  • Recompensa
  • Comentário
  • Repostar
  • Compartilhar
Comentário
Adicionar um comentário
Adicionar um comentário
Sem comentários
  • Fixado