该协议 Summer Finance (Summer.fi) 遭受了攻击,导致约 US$ 6 milhões 的损失,再次将聚光灯投向 DeFi 领域面临的安全挑战。该漏洞利用由专门从事链上分析的企业识别,相关迹象表明漏洞与协议金库中资产的会计/记账有关。
初步警报由区块链安全专家在周一上午发布。随后不久,其他企业开始分析资金动向,并重建攻击顺序,指出入侵者成功利用了与计算用户持仓份额相关的漏洞。
根据分析,被挪用的资金被迅速转换为 DAI,随后在发送到受攻击者控制的地址之前完成。该资金流动之所以引人注意,是因为其采用了一种常用于针对去中心化金融协议的攻击方法:通过暂时操纵价格和内部余额来获取不当收益。
安全公司 CertiK 表示,入侵者使用了 闪电贷,金额约为 US$ 65,4 milhões 来执行该操作。通过这种策略,攻击者成功完成了约 US$ 70,9 milhões 的赎回,并利用了协议 Lazy Summer 在记录其金库中现有资产方式中的漏洞。
Summer.fi 的系统使用人工智能在不同借贷平台之间自动分配用户存款,以寻求更高收益。该流程依赖于智能合约中资产的准确记账/会计处理;分析师称,在此次事件中,这一环节可能被加以利用。
CertiK 在以下发布中详细说明了该攻击的机制:
“攻击者在进行一次 US$ 64,8 millions 的存款后,成功赎回 US$ 70,9 millions;这一切得益于对 FleetCommander 的 totalAssets() 账目统计的操纵,分布在多个金库中,尤其是在 Silo: Varlamore USDC Growth 中。该金库是攻击者此前已累计并在此期间向 Ark 进行捐赠的。”
根据分析,FleetCommander 是负责管理金库的智能合约,而Ark 则在这些金库与平台所使用的借贷协议之间进行集成。
截至目前,Summer.fi 团队尚未披露关于所利用漏洞来源的详细解释。随着调查继续推进,安全公司仍在监控资金的动向,并评估是否会在 DeFi 协议中实施新的保护措施,以避免类似攻击。

