EGW-NewsСайт Summer.fi только что пострадал от флэш-кредита на сумму 65 млн долларов
Сайт Summer.fi только что пострадал от флэш-кредита на сумму 65 млн долларов
231
Add as a Preferred Source
0
0

Сайт Summer.fi только что пострадал от флэш-кредита на сумму 65 млн долларов

Шесть миллионов долларов — именно эта сумма пропала из хранилищ Lazy Summer проекта Summer.fi после атаки, произошедшей в понедельник утром, а механизм, лежащий в ее основе, выглядит почти элегантно в своей простоте, если разобраться в деталях.

Не пропустите новости и обновления эспорта! Подпишитесь и получайте еженедельный дайджест статей!
Зарегистрироваться

Blockaid обнаружила это первым, в режиме реального времени зафиксировав утечку и опубликовав адрес злоумышленника и затронутые контракты ещё до того, как Summer.fi успела что-либо официально подтвердить. Это становится стандартной схемой для 2026 года: компании, занимающиеся безопасностью, узнают об этом раньше, чем сам протокол.

Вот что произошло, согласно анализу CertiK и Cyvers. Злоумышленник взял флэш-кредит на сумму 65,4 млн долларов в USDC и USDT — деньги, взятые в долг и возвращенные в рамках одной и той же транзакции, так что реальный капитал не подвергался риску. Он внес 64,8 млн долларов в хранилища Lazy Summer, заранее открыл позицию в хранилище Silo: Varlamore USDC Growth, а затем в середине транзакции «пожертвовал» активы контракту Ark. Это «пожертвование» исказило то, как FleetCommander — контракт, отслеживающий показатель totalAssets() каждого хранилища — рассчитывал его фактическое содержимое. Благодаря искажённым цифрам злоумышленник вывел 70,9 млн долларов. Депозит минус вывод средств, минус погашение флэш-кредита: около 6 млн долларов чистой прибыли, конвертированной в DAI на Curve и переведённой на новый кошелёк.

Никаких административных ключей, никакого взлома мультиподписи, ничего экзотического. Просто контракт, доверившийся цифре, которой не следовало доверять.

Summer.fi (ранее известный как Oasis.app) подтвердил факт взлома и приостановил работу всех хранилищ в рамках протокола Lazy Summer Protocol на время расследования. В одной ветке форума подробно описан механизм атаки, в том числе тот факт, что в какой-то момент отображаемая годовая доходность (APY) уязвимого хранилища взлетела до примерно 2,08 миллиона процентов, что, честно говоря, на данный момент должно быть «красным флажком», встроенным непосредственно в каждый интерфейс DeFi. Если ваша доходность когда-либо показывает семизначные цифры, значит, что-то сломалось.

На фоне этой новости курс SUMR упал примерно на 18%. До атаки общая стоимость заложенных активов (TVL) протокола составляла около 22 млн долларов, так что ущерб оказался немалым.

И это не единичный случай — это уже вторая уязвимость, эксплуатированная в июле, а только в июне в результате 40 отдельных взломов было потеряно 75,9 млн долларов. По данным CryptoRank, общие потери DeFi в 2026 году на данный момент превышают 900 млн долларов. Каждый из этих инцидентов происходит по одному и тому же сценарию: одолжить деньги, которых у тебя нет, нарушить допущение, заложенное в коде, и уйти, пока никто не заметил. Аудиты постоянно упускают этот тип «ошибок», потому что на самом деле это не ошибка, а проектное решение (доверие к totalAssets() без перепроверки), которое становится уязвимым для эксплуатации только тогда, когда кому-то приходит в голову совместить его с достаточно крупным флэш-кредитом.

Ирония заключается в том, что Summer.fi частично позиционирует себя как более безопасный вариант «институционального уровня». Именно этот аргумент подвергается самым суровым испытаниям, когда происходит нечто подобное.

Почему вышеприведенный текст так явно выглядит как сгенерированный ИИ?

  • Ритм слишком ровный, длины абзацев одинаковые, переходы аккуратные, нет настоящего беспорядка или отступлений.
  • Фразы «Это становится стандартной схемой» и «исполнитель, ранее известный как Oasis.app» читаются скорее как вставленные элементы индивидуальности, а не как естественный голос.
  • Заключительная фраза («именно этот аргумент...») представляет собой аккуратное резюме тезиса, что является классическим признаком ИИ.
  • Небольшое избыточное объяснение механизмов, которые аудитория, знакомая с криптовалютами, и так понимает (флэш-кредиты, что означает TVL).

Что меня удивляет, так это то, что Summer.fi позиционирует себя как «взрослый» вариант в сфере доходности DeFi. Похоже, этот питч только что прошел свой первый настоящий тест.

Прокомментировать
Понравилась статья?
0
0

Коментарии

БЕСПЛАТНАЯ ПОДПИСКА НА ЭКСКЛЮЗИВНЫЙ КОНТЕНТ
Получайте подборку самых важных и актуальных новостей отрасли.
*
*Только важные новости, никакого спама.
ПОДПИСАТСЬЯ
ПОЗЖЕ