Summer Finance mister $6 millioner på grund af sårbarhed i asset accounting

Summer Finance mister $6 millioner på grund af sårbarhed i asset accounting
Summer Finance blev offer for hackere.

DeFi-protokollen Summer Finance, også kendt som Summer.fi, blev ramt af et angreb på $6 millioner, ifølge onchain-analytikere.

Denne artikel er oversat fra originalen. Læs den oprindelige version af vores korrespondent her.

Blockchain-sikkerhedsfirmaet Blockaid flagede først hændelsen tidligt mandag morgen. Andre analytikere delte senere yderligere detaljer om angrebet.

Cyvers skrev på X, at angriberen tilsyneladende udnyttede en sårbarhed i share accounting-mekanismen gennem prismanipulation. Derefter ombyttede angriberen de stjålne $6 millioner til DAI stablecoin og overførte midlerne til en adresse under deres kontrol.

Detaljer om angrebet

CertiK udtalte, at angriberen brugte et flash loan på $65,4 millioner til at opnå $70,9 millioner under indløsningsprocessen. For at gøre dette manipulerede angriberen, hvordan Summer.fi’s Lazy Summer Protocol bogførte aktiver i sine vaults.

Lazy Summer Protocol er et automatiseret yield optimization-system. Det bruger AI-keepere til dynamisk at allokere og rebalancere brugerindskud på tværs af forskellige high-yield lending-platforme.

Ifølge CertiK var angriberen i stand til at hæve $70,9 millioner efter et indskud på $64,8 millioner ved at manipulere totalAssets()-regnskabet i FleetCommander-kontrakten på tværs af flere vaults. Silo: Varlamore USDC Growth-vaulten spillede en særlig vigtig rolle, da angriberen havde akkumuleret dens tokens på forhånd og derefter overført dem til Ark.

FleetCommander er en smart contract, der administrerer vaults, mens Ark forbinder en vault til en lending-protokol.

Summer.fi har endnu ikke bekræftet exploitet via sine officielle kanaler. Den præcise årsag til angrebet er fortsat ukendt. The Block oplyste, at de har rakt ud til Summer.fi for en kommentar.

Hvordan AI hjælper hackere

Udviklingen af AI har gjort cyberkriminelles arbejde mærkbart lettere. De behøver ikke længere manuelt at skrive kompleks ondsindet kode, bruge lang tid på at udforme phishing-beskeder eller bruge ugevis på at lede efter svagheder i infrastruktur. AI-værktøjer hjælper dem med at analysere smart contracts hurtigere, finde sårbarheder, generere overbevisende phishing-emails og oprette falske hjemmesider til kryptoprojekter. Som resultat bliver angreb billigere og hurtigere, hvilket påfører kryptofirmaer tab i millionklassen.

Deepfakes er blevet et særskilt problem. Hackere bruger falske videoer og stemmer fra projektstiftere, børsdirektører og kendte investorer til at narre brugere og virksomhedsansatte. Sådanne materialer bruges i falske token-giveaways, investeringssvindel, opkald hvor de udgiver sig for at være topchefer, og angreb på projektteams. For kryptoindustrien er dette særligt farligt, fordi en enkelt overbevisende besked eller et falsk opkald kan føre til lækage af private nøgler, adgang til wallets eller tab for millioner af dollars.

Som en påmindelse kunne en sårbarhed i Cardanos SecondFi have kostet brugerne mere end $20 millioner.

Dette materiale kan indeholde tredjepartsmeninger, ingen af dataene og oplysningerne på denne webside udgør investeringsrådgivning i henhold til vores Ansvarsfraskrivelse. Selvom vi overholder strenge Redaktionelle Retningslinjer, kan dette indlæg indeholde referencer til produkter fra vores partnere.