Summer Finance kehilangan $6 juta akibat kerentanan akuntansi aset

Summer Finance kehilangan $6 juta akibat kerentanan akuntansi aset
Summer Finance menjadi korban peretas.

Protokol DeFi Summer Finance, yang juga dikenal sebagai Summer.fi, terkena serangan senilai $6 juta, menurut analis onchain.

Artikel ini diterjemahkan dari aslinya. Baca versi asli oleh koresponden kami di sini.

Firma keamanan blockchain Blockaid pertama kali menandai insiden tersebut pada Senin pagi. Analis lain kemudian membagikan detail tambahan mengenai serangan itu.

Cyvers menulis di X bahwa penyerang tampaknya mengeksploitasi kerentanan dalam mekanisme akuntansi share melalui manipulasi harga. Setelah itu, penyerang menukar $6 juta yang dicuri ke dalam stablecoin DAI dan mentransfer dana tersebut ke alamat di bawah kendali mereka.

Detail Serangan

CertiK mengatakan penyerang menggunakan flash loan senilai $65,4 juta untuk memperoleh $70,9 juta selama proses redemption. Untuk melakukan ini, penyerang memanipulasi cara Lazy Summer Protocol milik Summer.fi mencatat aset di dalam vault-nya.

Lazy Summer Protocol adalah sistem optimasi yield otomatis. Protokol ini menggunakan AI keeper untuk mengalokasikan dan menyeimbangkan kembali deposit pengguna secara dinamis di berbagai platform peminjaman yield tinggi.

Menurut CertiK, penyerang dapat menarik $70,9 juta setelah deposit sebesar $64,8 juta dengan memanipulasi akuntansi totalAssets() dalam kontrak FleetCommander di beberapa vault. Vault Silo: Varlamore USDC Growth memainkan peran yang sangat penting, karena penyerang telah mengumpulkan tokennya terlebih dahulu dan kemudian mentransfernya ke Ark.

FleetCommander adalah smart contract yang mengelola vault, sementara Ark menghubungkan vault ke protokol peminjaman.

Summer.fi belum mengonfirmasi eksploitasi tersebut melalui saluran resminya. Penyebab pasti serangan itu masih belum diketahui. The Block mengatakan telah menghubungi Summer.fi untuk memberikan komentar.

Bagaimana AI membantu peretas

Perkembangan AI telah membuat pekerjaan penjahat siber menjadi jauh lebih mudah. Mereka tidak lagi perlu menulis kode berbahaya yang kompleks secara manual, menghabiskan waktu lama untuk menyusun pesan phishing, atau menghabiskan waktu berminggu-minggu mencari kelemahan dalam infrastruktur. Alat AI membantu mereka menganalisis smart contract lebih cepat, menemukan kerentanan, menghasilkan email phishing yang meyakinkan, dan membuat situs web palsu untuk proyek kripto. Akibatnya, serangan menjadi lebih murah dan lebih cepat, menyebabkan perusahaan kripto mengalami kerugian jutaan dolar.

Deepfake telah menjadi masalah tersendiri. Peretas menggunakan video dan suara palsu dari pendiri proyek, eksekutif bursa, dan investor terkenal untuk menipu pengguna dan karyawan perusahaan. Materi semacam itu digunakan dalam giveaway token palsu, penipuan investasi, panggilan telepon yang meniru manajer puncak, dan serangan terhadap tim proyek. Bagi industri kripto, ini sangat berbahaya karena satu pesan yang meyakinkan atau panggilan palsu dapat menyebabkan kebocoran private key, akses dompet, atau kerugian jutaan dolar.

Sebagai pengingat, kerentanan di SecondFi Cardano bisa saja merugikan pengguna lebih dari $20 juta.

Materi ini mungkin mengandung opini pihak ketiga, tidak ada data dan informasi di halaman web ini yang merupakan nasihat investasi menurut Disclaimer kami. Meskipun kami mematuhi Integritas Editorial yang ketat, postingan ini mungkin mengandung referensi ke produk dari mitra kami.