A dimly lit bank vault corridor with metal vault
ارز دیجیتال

Summer.fi به‌دلیل هک ۶ میلیون دلاری، خزانه‌ها را متوقف کرد

تحلیل‌های اولیه به یک دستکاری حسابداری وام‌های آنی در خزانه‌های خودکار USDC که از طریق Aave و Morpho هدایت می‌شوند، اشاره دارد.

نوشته AI News Crypto Editorial Team7 دقیقه مطالعه

Summer.fi تمام خزانه‌های Lazy Summer Protocol را در تاریخ 6 ژوئیه متوقف کرد، پس از اینکه یک سوءاستفاده حدود 6 میلیون دلار از پلتفرم تولید سود مبتنی بر اتریوم را خالی کرد. SUMR بیش از 18% کاهش یافت زیرا بازار ریسک پروتکل را پس از عمومی شدن حادثه دوباره قیمت‌گذاری کرد.

نکات کلیدی

  • تمام خزانه‌های Lazy Summer Protocol پس از اینکه یک سوءاستفاده تقریباً 6 میلیون دلار از محصول yield Summer.fi را خالی کرد، متوقف شدند.
  • خوانش‌های فنی اولیه توصیف می‌کنند که یک دستکاری حسابداری ناشی از وام فوری در خزانه‌های خودکار USDC به مهاجم اجازه داد تا assets را افزایش دهد و برای سود برداشت کند.
  • پس از افشای حادثه، SUMR بیش از 18% کاهش یافت.
  • استراتژی Lazy Summer سپرده‌ها را در مکان‌هایی از جمله Aave و Morpho هدایت می‌کند و پروتکل قبل از حادثه نزدیک به 22 میلیون دلار TVL را طبق DeFiLlama داشت.

Summer.fi پس از کاهش حدود ۶ میلیون دلاری، Vaultهای Lazy Summer را متوقف کرد و قیمت SUMR بیش از ۱۸% کاهش یافت.

Summer.fi تمامی خزانه‌های Lazy Summer Protocol را پس از یک سوءاستفاده که منجر به سرقت حدود ۶ میلیون دلار شد، متوقف کرد. این توقف از طریق نگهبانان پروتکل اجرا شد و Summer.fi تأیید کرد که در حال تحقیق است و خزانه‌ها به منظور جلوگیری از خسارات بیشتر متوقف شده‌اند.

از منظر ساختار بازار، این موضوع بیشتر از عدد اصلی اهمیت دارد. یک توقف در سطح پروتکل، اقدام مهارکننده‌ای است که زمانی انجام می‌دهید که هنوز به حسابداری داخلی سیستم اعتماد ندارید. اگر این موضوع به‌طور واضحی جدا شده و به‌طور کامل در زمان واقعی درک می‌شد، انتظار می‌رفت که واکنشی محدودتر داشته باشید. در عوض، نگهبانان در سرتاسر Lazy Summer ترمز کردند.

بازار توکن‌ها نیز به همین شکل عمل کرد. SUMR پس از کشف آسیب‌پذیری بیش از ۱۸٪ کاهش یافت. این یک کاهش تدریجی نیست. این یک بازنگری سریع در عدم قطعیت است و تمایل دارد تا زمانی که معامله‌گران به دو چیز دست پیدا کنند، ادامه یابد: یک علت ریشه‌ای مشخص و یک مسیر معتبر برای بهبودی.

دستکاری حسابداری وام‌های فوری در خزانه‌های خودکار USDC

تحلیل‌های اولیه این آسیب‌پذیری را به عنوان یک حمله وام آنی توصیف می‌کنند که منطق حسابداری در خزانه‌های خودکار USDC Lazy Summer را دستکاری کرده است.

وام‌های آنی در یک تراکنش واحد قرض گرفته و بازپرداخت می‌شوند، که به یک مهاجم اجازه می‌دهد به طور موقت به حجم بالایی دسترسی پیدا کند بدون اینکه نیاز به وثیقه بلندمدت داشته باشد.ضمانتدر عمل، این اندازه معمولاً برای تأکید بر فرضیات یک پروتکل در مورد چگونگی محاسبه دارایی‌ها، سهام یا بازخریدها استفاده می‌شود.

در اینجا، توصیف اولیه ساده است: حمله‌کننده از وام فوری برای افزایش دارایی‌های گزارش شده در خزانه استفاده کرد و سپس بر اساس آن وضعیت افزایش‌یافته برای کسب سود خالص اقدام به بازخرید کرد. محقق امنیت DeFi، بهاری، آن را به عنوان "یک نقص در کد برای افزایش دارایی‌های کل" توصیف کرد که به حمله‌کننده "اجازه داده شد تا برای کسب سود خالص بازخرید کند."

دو بخش از این مسیر هنوز به‌طور صریح مقدماتی هستند. وام فوری "گزارش شده است که از طریق Morpho تأمین شده" و وجوه دزدیده شده "ظاهراً بهدایدر "Curve" قبل از اینکه به کیف پول مهاجم منتقل شود. این شرایط مهم هستند زیرا آنچه را که تأیید شده در مقابل آنچه که هنوز از ردپای زنجیره‌ای بازسازی می‌شود، مشخص می‌کنند.

آنچه در اینجا برجسته است، کلاس بهره‌برداری است. زمانی که حالت شکست منطق حسابداری باشد، ریسک محدود به مقداری نیست که در تراکنش نهایی از در خارج شده است. سوال کلیدی این است که آیا حسابداری سهم و دارایی در وضعیت‌های خزانه قبل از توقف دچار اختلال شده بود و آیا کاربران دیگری در حالی که حسابداری نادرست بود با خزانه تعامل داشتند یا خیر.

چگونه روترهای Aave و Morpho در تابستان تنبل، مواجهه را شکل می‌دهند

تابستان تنبل به گونه‌ای طراحی شده است که بازدهی بدون دخالت باشد. این سیستم سپرده‌ها را در بازارهای وام‌دهی از جمله Aave و Morpho به منظور جستجوی بازده‌های بالاتر هدایت می‌کند و مسئولیت متعادل‌سازی را به نمایندگی از کاربران بر عهده دارد. این هدایت، خود محصول است، اما همچنین نحوه تفکر معامله‌گران را در مورد مواجهه‌های درجه دوم شکل می‌دهد.

اثر مرتبه اول خود لایه خزانه است. یک خزانه DeFi سپرده‌های کاربران را جمع‌آوری کرده، آنها را در استراتژی‌ها به کار می‌گیرد و سهام‌هایی صادر می‌کند که نمایانگر ادعاهایی بر دارایی‌های جمع‌آوری شده هستند. اگر منطق حسابداری که قیمت‌گذاری این سهام‌ها یا محاسبه دارایی‌های کل را انجام می‌دهد قابل دستکاری باشد، خزانه می‌تواند تخلیه شود حتی اگر مکان‌های زیرین به طور عادی کار کنند.

تأثیر مرتبه دوم، ادراک و جریان‌ها است. Summer.fi حدود ۲۲ میلیون دلار داشت.ارزش کل قفل شدهقبل از سوءاستفاده، طبق داده‌های DeFiLlama. سرقت تقریبی ۶ میلیون دلاری سهم قابل توجهی از آن پایه است. حتی اگر Aave، Morpho و Curve فقط مکان‌هایی در مسیر تراکنش باشند و خودشان مورد سوءاستفاده قرار نگیرند، از دست دادن به این اندازه نسبت به TVL معمولاً تمایل به ریسک را به سرعت کاهش می‌دهد.

نتیجه مکانیکی معمولاً برداشت‌ها و کاهش تمایل به سرمایه‌گذاری در استراتژی‌های خودکار تا زمان انتشار گزارش پس از واقعه است.

این‌جا است که "چه کسی بهره‌مند می‌شود" اهمیت پیدا می‌کند. در یک سوءاستفاده حسابداری، ذینفع طرفی است که می‌تواند خزانه را مجبور به قیمت‌گذاری نادرست ادعاها کند. سایرین از طریق رقیق شدن یا از دست دادن کامل هزینه می‌پردازند و بازار توکن‌ها بلافاصله قیمت‌گذاری آسیب‌های حکمرانی و برند را انجام می‌دهد، که این همان چیزی است که حرکت SUMR منعکس می‌کند.

تحقیق، توقف نگهبان و سرنخ‌های زنجیره‌ای که معامله‌گران در حال پیگیری آن‌ها هستند

این حادثه ابتدا توسط شرکت امنیت بلاکچین Blockaid گزارش شد و PeckShield و CertiK نیز فعالیت مشکوکی را گزارش کردند. Summer.fi سپس تحقیق و توقف نگهبان را برای جلوگیری از خسارات بیشتر تأیید کرد.

کاتالیزورهای بعدی عمدتاً دوتایی هستند و به وضوح با آنچه بازار برای بازنگری ریسک نیاز دارد، مطابقت دارند.

یک، به‌روزرسانی بعدی Summer.fi در مورد دامنه. توقف به‌عنوان اعمال‌شده به تمام خزانه‌های Lazy Summer Protocol توصیف شد، اما جزئیات سوءاستفاده بر روی خزانه‌های خودکار USDC متمرکز است. معامله‌گران به دنبال وضوح در مورد اینکه آیا توقف به‌عنوان احتیاطی یکنواخت است یا اینکه خزانه‌های دیگر از نظر اقتصادی تحت تأثیر قرار گرفته‌اند، خواهند بود.

دو، یک نوشتار فنی که نقص دقیق منطق حسابداری را تأیید می‌کند و مسیر وام فلش گزارش‌شده از طریق Morpho را اعتبارسنجی یا اصلاح می‌کند. تا زمانی که این موضوع مشخص نشود، بازار در حال معامله در یک خلأ اطلاعاتی است.

سه، حرکات زنجیره‌ای و سیگنال‌های بازیابی. ردیابی اولیه نشان می‌دهد که وجوه دزدیده‌شده به DAI در Curve تبدیل شده و به کیف پول مهاجم منتقل شده است. هرگونه تراکنش بازگشتی، تلاش‌های مذاکره یا دیگر نشانه‌های بازیابی، ورودی‌های فوری به حق بیمه ریسک SUMR خواهند بود.

چهار، TVL و جریان‌های خالص پس از توقف در مقایسه با پایه‌گذاری تقریباً ۲۲ میلیون دلاری پیش از سوءاستفاده. TVL یک معیار کامل نیست، اما یک خوانش سریع از اعتماد و چسبندگی سرمایه پس از یک حادثه است.

حق بیمه ریسک SUMR زمانی که حسابداری خزانه خراب می‌شود، دوباره قیمت‌گذاری می‌شود.

من این را به‌عنوان یک رویداد کلاسیک "شوک اعتماد" می‌بینم، نه یک تیتر سوءاستفاده روتین. حقایق سخت کافی هستند: حدود ۶ میلیون دلار دزدیده شده، تمام خزانه‌های Lazy Summer توسط نگهبانان متوقف شده و SUMR بیش از ۱۸٪ کاهش یافته است. بازار به شما می‌گوید که هنوز به طور کامل به آسیب‌ها باور ندارد.

الگوی قابل توجه، عدم تطابق بین توقف گسترده و توصیف باریک سوءاستفاده است. اگر مشکل واقعاً به حسابداری خزانه‌های خودکار USDC محدود باشد، پروتکل در نهایت می‌تواند یک اصلاح محدود و یک بازگشایی کنترل‌شده را ارتباط دهد. در آن سناریو، نقطه تأیید زبان صریحی است که توقف به‌عنوان احتیاطی در سراسر خزانه‌ها است، همراه با یک بررسی پس از مرگ که نقص حسابداری را توضیح می‌دهد و نشان می‌دهد که چگونه برطرف شده است.

نقطه بی‌اعتباری هر به‌روزرسانی است که سطح تحت تأثیر را فراتر از خزانه‌های USDC گسترش دهد یا پیشنهاد کند که انحراف حسابداری بر چندین حالت خزانه تأثیر گذاشته است.

سناریوی دوم این است که مکانیک‌های بهره‌برداری درک شده‌اند، اما پروتکل نمی‌تواند به‌طور فوری ثابت کند که حسابداری سهم برای تمام کاربران قبل از توقف درست بوده است. اینجاست که محصولات خزانه به هم می‌ریزند. اگر واریزها و برداشت‌ها در حالی که حسابداری قابل دستکاری بود، انجام شده باشد، سوال "چه کسی چه چیزی را از دست داد" سخت‌تر از یک عدد سرقت ساده می‌شود.

در اینجا، من به دنبال زبان مربوط به تطبیق وضعیت خزانه، عکس‌برداری‌ها یا هر فرآیند دیگری برای کمیت‌سازی تأثیر کاربران هستم. بازار صبر نخواهد کرد اگر آن تطبیق حسابداری بدون پایان باشد.

سناریوی سوم، دیدگاه‌های بازیابی است. ردیابی‌های اولیه نشان می‌دهد که وجوه به DAI در Curve تبدیل شده و به کیف پول مهاجم منتقل شده است. اگر سیگنال‌های بازیابی معتبر وجود داشته باشد، توکن می‌تواند به سرعت دوباره قیمت‌گذاری شود زیرا ریسک دنباله‌ای کاهش می‌یابد. اگر وجوه به‌طور تمیز و بدون مسیر بازیابی قابل مشاهده حرکت کنند، حق بیمه ریسک تمایل دارد که بالا بماند زیرا ضرر در ذهن معامله‌گران نهایی می‌شود.

در تمام سناریوها، عامل اصلی یکسان است: حسابداری خزانه، ستون فقرات محصول است. وقتی که این شکسته شود، توکن مانند اعتبار غیرمطمئن معامله می‌شود تا زمانی که پروتکل بتواند دامنه را ثابت کند، توضیح دهد که اصلاح چگونه انجام می‌شود و نشان دهد که آیا ارزش قابل بازیابی وجود دارد یا خیر.

فرضیه تأیید می‌شود اگر به‌روزرسانی‌های بعدی Summer.fi شعاع انفجار را به خزانه‌های خودکار USDC محدود کند و یک اصلاح حسابداری ملموس و قابل تأیید ارائه دهد که از یک بازگشایی کنترل‌شده خزانه پشتیبانی کند.

منابع