该推文已被作者删除。
但我们已保存所有内容 🙂。
据链上分析师称,DeFi 协议 Summer Finance(又称 Summer.fi)遭遇了 600 万美元的攻击。
本文翻译自原文。点击此处阅读由我们的通讯员撰写的原文.
区块链安全公司 Blockaid 在周一清晨率先标记了该事件。随后,其他分析师分享了此次攻击的更多细节。
Cyvers 在 X 上写道,攻击者显然通过价格操纵利用了份额核算机制中的漏洞。此后,攻击者将窃取的 600 万美元兑换成 DAI 稳定币,并将资金转移到其控制的地址。
CertiK 表示,攻击者利用 6,540 万美元的闪电贷在赎回过程中获取了 7,090 万美元。为此,攻击者操纵了 Summer.fi 的 Lazy Summer Protocol 对其金库资产的核算方式。
Lazy Summer Protocol 是一个自动化收益优化系统。它使用 AI keeper 在各种高收益借贷平台之间动态分配和重新平衡用户存款。
根据 CertiK 的说法,攻击者通过操纵多个金库中 FleetCommander 合约的 totalAssets() 核算,在存入 6,480 万美元后成功提取了 7,090 万美元。其中 Silo: Varlamore USDC Growth 金库发挥了尤为重要的作用,因为攻击者预先积累了该金库的代币,然后将其转移到了 Ark。
FleetCommander 是管理金库的智能合约,而 Ark 则负责将金库连接到借贷协议。
Summer.fi 尚未通过其官方渠道确认此次漏洞。攻击的确切原因仍不清楚。The Block 表示已联系 Summer.fi 寻求置评。
AI 的发展显著降低了网络犯罪分子的工作难度。他们不再需要手动编写复杂的恶意代码、花费大量时间构思网络钓鱼信息,或耗费数周寻找基础设施的弱点。AI 工具帮助他们更快地分析智能合约、发现漏洞、生成极具说服力的钓鱼邮件,并为加密项目创建虚假网站。结果是攻击变得成本更低、速度更快,导致加密公司遭受数百万美元的损失。
深度伪造(Deepfakes)已成为另一个棘手问题。黑客利用项目创始人、交易所高管和知名投资者的虚假视频和声音来欺骗用户和公司员工。此类素材被用于虚假代币赠送、投资诈骗、冒充高管的电话以及针对项目团队的攻击。对于加密行业而言,这尤为危险,因为一条具有说服力的信息或一个虚假电话就可能导致私钥泄露、钱包访问权限丢失或数百万美元的损失。
提醒一下,Cardano 上 SecondFi 的漏洞原本可能导致用户损失超过 2000 万美元。