ads
bc-game

Ataque a Summer Finance drena US$ 6 millones tras fallo en un protocolo DeFi

2 min lectura
PortalCripto
Ataque a Summer Finance drena US$ 6 millones tras fallo en un protocolo DeFi
Fuente: Sora Shimazaki/Pexels — Ataque a Summer Finance drena US$ 6 millones tras fallo en un protocolo DeFi
Publicidad

El protocolo Summer Finance (Summer.fi) sufrió un ataque que resultó en la pérdida de aproximadamente US$ 6 millones, poniendo nuevamente los reflectores sobre los desafíos de seguridad que enfrenta el sector de DeFi. La explotación fue identificada por empresas especializadas en análisis on-chain, que señalaron indicios de una vulnerabilidad vinculada a la contabilización de activos en las bóvedas del protocolo.

La alerta inicial fue divulgada por especialistas en seguridad blockchain durante la mañana del lunes. Poco después, otras empresas comenzaron a analizar el movimiento de los fondos y reconstruyeron la secuencia del ataque, indicando que el invasor pudo explotar una falla relacionada con el cálculo de las participaciones de los usuarios.

Según los análisis, los recursos desviados se convirtieron rápidamente en DAI antes de ser enviados a una dirección bajo control del atacante. El movimiento llamó la atención por utilizar un método que se emplea con frecuencia en ataques contra protocolos de finanzas descentralizadas: la manipulación temporal de precios y saldos internos para obtener ganancias indebidas.

La empresa de seguridad CertiK afirmó que el invasor recurrió a un préstamo relámpago de aproximadamente US$ 65,4 millones para ejecutar la operación. Con esta estrategia, el atacante logró realizar un rescate de alrededor de US$ 70,9 millones, aprovechando una falla en la forma en que el protocolo Lazy Summer registraba los activos existentes en sus bóvedas.

El sistema de Summer.fi utiliza inteligencia artificial para distribuir automáticamente los depósitos de los usuarios entre diferentes plataformas de préstamos, buscando mayor rendimiento. Este proceso depende de la correcta contabilización de los activos en contratos inteligentes, un factor que, según los analistas, habría sido explotado durante el incidente.

CertiK detalló la mecánica del ataque en la siguiente publicación:

"El atacante logró recuperar US$ 70,9 millones después de un depósito de US$ 64,8 millones, gracias a la manipulación del registro del totalAssets() de FleetCommander en diversas bóvedas, particularmente en el Silo: Varlamore USDC Growth, que el atacante había acumulado previamente y donado a Ark durante ese tiempo".

Según el análisis, el FleetCommander es el contrato inteligente responsable de la administración de las bóvedas, mientras que el Ark realiza la integración entre estas bóvedas y los protocolos de préstamos utilizados por la plataforma.

Hasta el momento, el equipo de Summer.fi aún no ha divulgado una explicación detallada sobre el origen de la vulnerabilidad explotada. Mientras la investigación continúa, las empresas de seguridad siguen monitoreando el movimiento de los recursos y evaluando si se implementarán nuevas medidas de protección para evitar ataques similares en el protocolo DeFi.

Tags