Il protocollo Summer Finance (Summer.fi) ha subito un attacco che ha provocato la perdita di circa US$ 6 milioni, riportando l’attenzione sulle sfide di sicurezza affrontate dal settore DeFi. L’exploit è stato individuato da aziende specializzate nell’analisi on-chain, che hanno indicato segnali di una vulnerabilità legata alla contabilizzazione degli asset nei caveau del protocollo.
L’allerta iniziale è stata diffusa da specialisti di sicurezza blockchain durante la mattina di lunedì. Poco dopo, altre aziende hanno iniziato ad analizzare il movimento dei fondi e hanno ricostruito la sequenza dell’attacco, indicando che l’invasore è riuscito a sfruttare una falla relativa al calcolo delle partecipazioni degli utenti.
Secondo le analisi, le risorse dirottate sono state convertite rapidamente in DAI prima di essere inviate a un indirizzo sotto il controllo dell’attaccante. Il movimento ha attirato l’attenzione per l’impiego di un metodo spesso usato in attacchi contro protocolli di finanza decentralizzata: la manipolazione temporanea di prezzi e saldi interni per ottenere guadagni indebiti.
L’azienda di sicurezza CertiK ha affermato che l’invasore ha fatto ricorso a un prestito flash di circa US$ 65,4 milioni per eseguire l’operazione. Con questa strategia, l’attaccante è riuscito a effettuare un recupero di circa US$ 70,9 milioni, sfruttando una falla nel modo in cui il protocollo Lazy Summer registrava gli asset esistenti nei suoi caveau.
Il sistema di Summer.fi utilizza l’intelligenza artificiale per distribuire automaticamente i depositi degli utenti tra diverse piattaforme di prestito, mirando a un rendimento maggiore. Questo processo dipende dalla corretta contabilizzazione degli asset in contratti intelligenti, fattore che, secondo gli analisti, sarebbe stato sfruttato durante l’incidente.
La CertiK ha descritto in dettaglio la meccanica dell’attacco nel seguente post:
"L'attaccante è riuscito a ritirare US$ 70,9 milioni dopo un deposito di US$ 64,8 milioni, grazie alla manipolazione della contabilizzazione del totalAssets() di FleetCommander in diversi vault, in particolare nel Silo: Varlamore USDC Growth, che l'attaccante aveva accumulato in precedenza e donato ad Ark nel frattempo".
Secondo l'analisi, il FleetCommander è il contratto intelligente responsabile della gestione dei vault, mentre il Ark effettua l'integrazione tra questi vault e i protocolli di prestito utilizzati dalla piattaforma.
Finora, il team di Summer.fi non ha ancora divulgato una spiegazione dettagliata sull'origine della vulnerabilità sfruttata. Mentre l'indagine continua, le aziende di sicurezza continuano a monitorare la movimentazione delle risorse e a valutare se verranno implementate nuove misure di protezione per evitare attacchi simili nel protocollo DeFi.

