El tuit fue eliminado por el autor.
Pero guardamos todo 🙂.
El protocolo DeFi Summer Finance, también conocido como Summer.fi, se vio afectado por un ataque de 6 millones de dólares, según analistas onchain.
Este artículo ha sido traducido del original. Lea la versión original de nuestro corresponsal aquí.
La firma de seguridad blockchain Blockaid alertó primero sobre el incidente a primera hora de la mañana del lunes. Otros analistas compartieron posteriormente detalles adicionales del ataque.
Cyvers escribió en X que el atacante aparentemente explotó una vulnerabilidad en el mecanismo de contabilidad de participaciones mediante la manipulación de precios. Tras esto, el atacante canjeó los 6 millones de dólares robados por la stablecoin DAI y transfirió los fondos a una dirección bajo su control.
CertiK señaló que el atacante utilizó un flash loan de 65,4 millones de dólares para obtener 70,9 millones durante el proceso de redención. Para lograrlo, el atacante manipuló la forma en que el Lazy Summer Protocol de Summer.fi contabilizaba los activos en sus bóvedas.
Lazy Summer Protocol es un sistema automatizado de optimización de rendimientos. Utiliza AI keepers para asignar y reequilibrar dinámicamente los depósitos de los usuarios en varias plataformas de préstamos de alto rendimiento.
Según CertiK, el atacante pudo retirar 70,9 millones de dólares tras un depósito de 64,8 millones manipulando la contabilidad de totalAssets() en el contrato FleetCommander en varias bóvedas. La bóveda Silo: Varlamore USDC Growth desempeñó un papel especialmente importante, ya que el atacante había acumulado sus tokens de antemano y luego los transfirió a Ark.
FleetCommander es un contrato inteligente que gestiona las bóvedas, mientras que Ark conecta una bóveda con un protocolo de préstamos.
Summer.fi aún no ha confirmado el exploit a través de sus canales oficiales. La causa exacta del ataque sigue siendo desconocida. The Block indicó que se había puesto en contacto con Summer.fi para obtener comentarios.
El desarrollo de la IA ha facilitado notablemente el trabajo de los ciberdelincuentes. Ya no necesitan escribir manualmente códigos maliciosos complejos, dedicar mucho tiempo a elaborar mensajes de phishing o pasar semanas buscando debilidades en la infraestructura. Las herramientas de IA les ayudan a analizar contratos inteligentes más rápido, encontrar vulnerabilidades, generar correos electrónicos de phishing convincentes y crear sitios web falsos para proyectos cripto. Como resultado, los ataques son cada vez más baratos y rápidos, causando a las empresas cripto pérdidas multimillonarias.
Los deepfakes se han convertido en un problema aparte. Los hackers utilizan vídeos y voces falsas de fundadores de proyectos, ejecutivos de exchanges e inversores conocidos para engañar a los usuarios y empleados de las empresas. Estos materiales se utilizan en sorteos de tokens falsos, estafas de inversión, llamadas suplantando a altos directivos y ataques a equipos de proyectos. Para la industria cripto, esto es especialmente peligroso porque un solo mensaje convincente o una llamada falsa puede provocar la filtración de claves privadas, el acceso a billeteras o pérdidas de millones de dólares.
Como recordatorio, una vulnerabilidad en SecondFi de Cardano podría haber costado a los usuarios más de 20 millones de dólares.