EGW-NewsSerwis Summer.fi właśnie padł ofiarą ataku z wykorzystaniem pożyczki błyskawicznej o wartości 65 mln dolarów
Serwis Summer.fi właśnie padł ofiarą ataku z wykorzystaniem pożyczki błyskawicznej o wartości 65 mln dolarów
216
Add as a Preferred Source
0
0

Serwis Summer.fi właśnie padł ofiarą ataku z wykorzystaniem pożyczki błyskawicznej o wartości 65 mln dolarów

Sześć milionów dolarów. Tyle właśnie brakuje w skarbcach projektu „Lazy Summer” serwisu Summer.fi po poniedziałkowym ataku, a mechanizm, który za nim stoi, wydaje się niemal elegancki w swojej prostocie, gdy się go dokładnie przeanalizuje.

Nie przegap esportowych newsów i aktualizacji! Zarejestruj się i otrzymuj cotygodniowy przegląd artykułów!
Zarejestruj się

Blockaid jako pierwszy to wykrył, sygnalizując wyciek w czasie rzeczywistym i publikując adres sprawcy ataku oraz dane dotkniętych nim kontraktów, zanim Summer.fi zdążyło cokolwiek potwierdzić publicznie. Staje się to standardowym schematem w 2026 roku: firmy zajmujące się bezpieczeństwem dowiadują się o tym przed samym protokołem.

Oto, co się wydarzyło, na podstawie analiz CertiK i Cyvers. Atakujący zaciągnął błyskawiczną pożyczkę w wysokości 65,4 mln dolarów w USDC i USDT – pieniądze zostały pożyczone i spłacone w ramach tej samej transakcji, więc nie było żadnego rzeczywistego ryzyka utraty kapitału. Zdeponował 64,8 mln dolarów w skarbcach Lazy Summer, wstępnie otworzył pozycję w skarbcu Silo: Varlamore USDC Growth, a następnie w trakcie transakcji „przekazał” aktywa na rzecz kontraktu Ark. Ta darowizna zafałszowała sposób, w jaki FleetCommander — kontrakt śledzący wartość totalAssets() każdego skarbca — obliczał rzeczywistą zawartość skarbca. W związku z zafałszowanymi danymi atakujący wykupił 70,9 mln dolarów. Wpłata pomniejszona o kwotę wykupu oraz spłatę pożyczki błyskawicznej dała około 6 mln dolarów czystego zysku, który został zamieniony na DAI na platformie Curve i przeniesiony do nowego portfela.

Żadnych kluczy administracyjnych, żadnego naruszenia multisigu, nic nadzwyczajnego. Po prostu kontrakt, który zaufał liczbie, której nie powinien był ufać.

Summer.fi (wcześniej znane jako Oasis.app) potwierdziło wykorzystanie luki i wstrzymało działanie wszystkich skarbców w ramach protokołu Lazy Summer na czas dochodzenia. W jednym z wątków na forum szczegółowo opisano mechanizm ataku, w tym fakt, że w pewnym momencie wyświetlana roczna stopa zwrotu (APY) dotkniętego skarbca gwałtownie wzrosła do około 2,08 miliona procent, co szczerze mówiąc powinno być sygnałem ostrzegawczym wbudowanym bezpośrednio w każdy interfejs DeFi na tym etapie. Jeśli Twoja stopa zwrotu kiedykolwiek osiągnie siedmiocyfrową wartość, coś się zepsuło.

W wyniku tej wiadomości cena SUMR spadła o około 18%. Przed atakiem protokół miał TVL na poziomie około 22 mln dolarów, więc nie była to niewielka strata.

Nie jest to też odosobniony przypadek — to już drugi atak w lipcu, a tylko w czerwcu w wyniku 40 oddzielnych ataków stracono 75,9 mln dolarów. CryptoRank szacuje, że łączne straty w sektorze DeFi w 2026 r. wynoszą jak dotąd ponad 900 mln dolarów. Każdy z tych przypadków przebiega według tego samego schematu: pożyczasz pieniądze, których nie masz, łamiesz założenie zawarte w kodzie, a następnie znikasz, zanim ktokolwiek to zauważy. Audyty wciąż przeoczają tego typu „błędy”, ponieważ tak naprawdę nie są to błędy, lecz decyzje projektowe (zaufanie do funkcji`totalAssets()` bez dodatkowej weryfikacji), które stają się podatne na wykorzystanie dopiero wtedy, gdy ktoś wpadnie na pomysł, by połączyć je z wystarczająco dużą pożyczką błyskawiczną.

Ironią losu jest to, że Summer.fi promuje się częściowo jako bezpieczniejsza opcja o „instytucjonalnym standardzie”. To właśnie ten argument jest poddawany najsurowszej próbie, gdy dochodzi do takich sytuacji.

Co sprawia, że powyższy tekst jest tak ewidentnie wygenerowany przez AI?

  • Rytm jest zbyt czysty, długości akapitów są stałe, przejścia są uporządkowane, nie ma prawdziwego bałaganu ani dygresji.
  • „To staje się standardowym schematem” oraz „artysta znany wcześniej jako Oasis.app” brzmią raczej jak sztucznie wstawiona osobowość, a nie naturalny głos.
  • Zakończenie („to właśnie ten argument…”) to schludne podsumowanie tezy, co jest klasyczną cechą charakterystyczną dla tekstów generowanych przez AI.
  • Nieznaczne nadmierne wyjaśnianie mechanizmów, które odbiorcy znający się na kryptowalutach już rozumieją (pożyczki błyskawiczne, co oznacza TVL).

Zastanawia mnie to, że Summer.fi w pewnym sensie sprzedaje się jako „dorosła” opcja w zakresie zysków z DeFi. Wydaje mi się, że ta prezentacja właśnie przeszła swój pierwszy prawdziwy test.

Zostaw swój komentarz
Podobał Ci się artykuł?
0
0

Komentarze

FREE SUBSCRIPTION ON EXCLUSIVE CONTENT
Receive a selection of the most important and up-to-date news in the industry.
*
*Only important news, no spam.
SUBSCRIBE
LATER