O protocolo Summer Finance (Summer.fi) sofreu um ataque que resultou na perda de aproximadamente US$ 6 milhões, colocando novamente os holofotes sobre os desafios de segurança enfrentados pelo setor de DeFi. A exploração foi identificada por empresas especializadas em análise on-chain, que apontaram indícios de uma vulnerabilidade ligada à contabilização de ativos nos cofres do protocolo.
O alerta inicial foi divulgado por especialistas em segurança blockchain durante a manhã de segunda-feira. Pouco depois, outras empresas passaram a analisar a movimentação dos fundos e reconstruíram a sequência do ataque, indicando que o invasor conseguiu explorar uma falha relacionada ao cálculo das participações dos usuários.
Segundo as análises, os recursos desviados foram rapidamente convertidos em DAI antes de serem enviados para um endereço sob controle do atacante. A movimentação chamou atenção por utilizar um método frequentemente empregado em ataques contra protocolos de finanças descentralizadas: a manipulação temporária de preços e saldos internos para obter ganhos indevidos.
A empresa de segurança CertiK afirmou que o invasor recorreu a um empréstimo relâmpago de aproximadamente US$ 65,4 milhões para executar a operação. Com essa estratégia, o atacante conseguiu realizar um resgate de cerca de US$ 70,9 milhões, aproveitando uma falha na forma como o protocolo Lazy Summer registrava os ativos existentes em seus cofres.
O sistema da Summer.fi utiliza inteligência artificial para distribuir automaticamente os depósitos dos usuários entre diferentes plataformas de empréstimos, buscando maior rendimento. Esse processo depende da correta contabilização dos ativos em contratos inteligentes, fator que, segundo os analistas, teria sido explorado durante o incidente.
A CertiK detalhou a mecânica do ataque na seguinte publicação:
"O atacante conseguiu resgatar US$ 70,9 milhões após um depósito de US$ 64,8 milhões, graças à manipulação da contabilização do totalAssets() do FleetCommander em diversos cofres, particularmente no Silo: Varlamore USDC Growth, que o atacante havia acumulado previamente e doado ao Ark nesse meio tempo".
De acordo com a análise, o FleetCommander é o contrato inteligente responsável pela administração dos cofres, enquanto o Ark faz a integração entre esses cofres e os protocolos de empréstimos utilizados pela plataforma.
Até o momento, a equipe da Summer.fi ainda não divulgou uma explicação detalhada sobre a origem da vulnerabilidade explorada. Enquanto a investigação continua, empresas de segurança seguem monitorando a movimentação dos recursos e avaliando se novas medidas de proteção serão implementadas para evitar ataques semelhantes no protocolo DeFi.

