
Summer.fi بهدلیل هک ۶ میلیون دلاری، خزانهها را متوقف کرد
تحلیلهای اولیه به یک دستکاری حسابداری وامهای آنی در خزانههای خودکار USDC که از طریق Aave و Morpho هدایت میشوند، اشاره دارد.
Summer.fi تمام خزانههای Lazy Summer Protocol را در تاریخ 6 ژوئیه متوقف کرد، پس از اینکه یک سوءاستفاده حدود 6 میلیون دلار از پلتفرم تولید سود مبتنی بر اتریوم را خالی کرد. SUMR بیش از 18% کاهش یافت زیرا بازار ریسک پروتکل را پس از عمومی شدن حادثه دوباره قیمتگذاری کرد.
نکات کلیدی
- تمام خزانههای Lazy Summer Protocol پس از اینکه یک سوءاستفاده تقریباً 6 میلیون دلار از محصول yield Summer.fi را خالی کرد، متوقف شدند.
- خوانشهای فنی اولیه توصیف میکنند که یک دستکاری حسابداری ناشی از وام فوری در خزانههای خودکار USDC به مهاجم اجازه داد تا assets را افزایش دهد و برای سود برداشت کند.
- پس از افشای حادثه، SUMR بیش از 18% کاهش یافت.
- استراتژی Lazy Summer سپردهها را در مکانهایی از جمله Aave و Morpho هدایت میکند و پروتکل قبل از حادثه نزدیک به 22 میلیون دلار TVL را طبق DeFiLlama داشت.
Summer.fi پس از کاهش حدود ۶ میلیون دلاری، Vaultهای Lazy Summer را متوقف کرد و قیمت SUMR بیش از ۱۸% کاهش یافت.
Summer.fi تمامی خزانههای Lazy Summer Protocol را پس از یک سوءاستفاده که منجر به سرقت حدود ۶ میلیون دلار شد، متوقف کرد. این توقف از طریق نگهبانان پروتکل اجرا شد و Summer.fi تأیید کرد که در حال تحقیق است و خزانهها به منظور جلوگیری از خسارات بیشتر متوقف شدهاند.
از منظر ساختار بازار، این موضوع بیشتر از عدد اصلی اهمیت دارد. یک توقف در سطح پروتکل، اقدام مهارکنندهای است که زمانی انجام میدهید که هنوز به حسابداری داخلی سیستم اعتماد ندارید. اگر این موضوع بهطور واضحی جدا شده و بهطور کامل در زمان واقعی درک میشد، انتظار میرفت که واکنشی محدودتر داشته باشید. در عوض، نگهبانان در سرتاسر Lazy Summer ترمز کردند.
بازار توکنها نیز به همین شکل عمل کرد. SUMR پس از کشف آسیبپذیری بیش از ۱۸٪ کاهش یافت. این یک کاهش تدریجی نیست. این یک بازنگری سریع در عدم قطعیت است و تمایل دارد تا زمانی که معاملهگران به دو چیز دست پیدا کنند، ادامه یابد: یک علت ریشهای مشخص و یک مسیر معتبر برای بهبودی.
دستکاری حسابداری وامهای فوری در خزانههای خودکار USDC
تحلیلهای اولیه این آسیبپذیری را به عنوان یک حمله وام آنی توصیف میکنند که منطق حسابداری در خزانههای خودکار USDC Lazy Summer را دستکاری کرده است.
وامهای آنی در یک تراکنش واحد قرض گرفته و بازپرداخت میشوند، که به یک مهاجم اجازه میدهد به طور موقت به حجم بالایی دسترسی پیدا کند بدون اینکه نیاز به وثیقه بلندمدت داشته باشد.ضمانتدر عمل، این اندازه معمولاً برای تأکید بر فرضیات یک پروتکل در مورد چگونگی محاسبه داراییها، سهام یا بازخریدها استفاده میشود.
در اینجا، توصیف اولیه ساده است: حملهکننده از وام فوری برای افزایش داراییهای گزارش شده در خزانه استفاده کرد و سپس بر اساس آن وضعیت افزایشیافته برای کسب سود خالص اقدام به بازخرید کرد. محقق امنیت DeFi، بهاری، آن را به عنوان "یک نقص در کد برای افزایش داراییهای کل" توصیف کرد که به حملهکننده "اجازه داده شد تا برای کسب سود خالص بازخرید کند."
دو بخش از این مسیر هنوز بهطور صریح مقدماتی هستند. وام فوری "گزارش شده است که از طریق Morpho تأمین شده" و وجوه دزدیده شده "ظاهراً بهدایدر "Curve" قبل از اینکه به کیف پول مهاجم منتقل شود. این شرایط مهم هستند زیرا آنچه را که تأیید شده در مقابل آنچه که هنوز از ردپای زنجیرهای بازسازی میشود، مشخص میکنند.
آنچه در اینجا برجسته است، کلاس بهرهبرداری است. زمانی که حالت شکست منطق حسابداری باشد، ریسک محدود به مقداری نیست که در تراکنش نهایی از در خارج شده است. سوال کلیدی این است که آیا حسابداری سهم و دارایی در وضعیتهای خزانه قبل از توقف دچار اختلال شده بود و آیا کاربران دیگری در حالی که حسابداری نادرست بود با خزانه تعامل داشتند یا خیر.
چگونه روترهای Aave و Morpho در تابستان تنبل، مواجهه را شکل میدهند
تابستان تنبل به گونهای طراحی شده است که بازدهی بدون دخالت باشد. این سیستم سپردهها را در بازارهای وامدهی از جمله Aave و Morpho به منظور جستجوی بازدههای بالاتر هدایت میکند و مسئولیت متعادلسازی را به نمایندگی از کاربران بر عهده دارد. این هدایت، خود محصول است، اما همچنین نحوه تفکر معاملهگران را در مورد مواجهههای درجه دوم شکل میدهد.
اثر مرتبه اول خود لایه خزانه است. یک خزانه DeFi سپردههای کاربران را جمعآوری کرده، آنها را در استراتژیها به کار میگیرد و سهامهایی صادر میکند که نمایانگر ادعاهایی بر داراییهای جمعآوری شده هستند. اگر منطق حسابداری که قیمتگذاری این سهامها یا محاسبه داراییهای کل را انجام میدهد قابل دستکاری باشد، خزانه میتواند تخلیه شود حتی اگر مکانهای زیرین به طور عادی کار کنند.
تأثیر مرتبه دوم، ادراک و جریانها است. Summer.fi حدود ۲۲ میلیون دلار داشت.ارزش کل قفل شدهقبل از سوءاستفاده، طبق دادههای DeFiLlama. سرقت تقریبی ۶ میلیون دلاری سهم قابل توجهی از آن پایه است. حتی اگر Aave، Morpho و Curve فقط مکانهایی در مسیر تراکنش باشند و خودشان مورد سوءاستفاده قرار نگیرند، از دست دادن به این اندازه نسبت به TVL معمولاً تمایل به ریسک را به سرعت کاهش میدهد.
نتیجه مکانیکی معمولاً برداشتها و کاهش تمایل به سرمایهگذاری در استراتژیهای خودکار تا زمان انتشار گزارش پس از واقعه است.
اینجا است که "چه کسی بهرهمند میشود" اهمیت پیدا میکند. در یک سوءاستفاده حسابداری، ذینفع طرفی است که میتواند خزانه را مجبور به قیمتگذاری نادرست ادعاها کند. سایرین از طریق رقیق شدن یا از دست دادن کامل هزینه میپردازند و بازار توکنها بلافاصله قیمتگذاری آسیبهای حکمرانی و برند را انجام میدهد، که این همان چیزی است که حرکت SUMR منعکس میکند.
تحقیق، توقف نگهبان و سرنخهای زنجیرهای که معاملهگران در حال پیگیری آنها هستند
این حادثه ابتدا توسط شرکت امنیت بلاکچین Blockaid گزارش شد و PeckShield و CertiK نیز فعالیت مشکوکی را گزارش کردند. Summer.fi سپس تحقیق و توقف نگهبان را برای جلوگیری از خسارات بیشتر تأیید کرد.
کاتالیزورهای بعدی عمدتاً دوتایی هستند و به وضوح با آنچه بازار برای بازنگری ریسک نیاز دارد، مطابقت دارند.
یک، بهروزرسانی بعدی Summer.fi در مورد دامنه. توقف بهعنوان اعمالشده به تمام خزانههای Lazy Summer Protocol توصیف شد، اما جزئیات سوءاستفاده بر روی خزانههای خودکار USDC متمرکز است. معاملهگران به دنبال وضوح در مورد اینکه آیا توقف بهعنوان احتیاطی یکنواخت است یا اینکه خزانههای دیگر از نظر اقتصادی تحت تأثیر قرار گرفتهاند، خواهند بود.
دو، یک نوشتار فنی که نقص دقیق منطق حسابداری را تأیید میکند و مسیر وام فلش گزارششده از طریق Morpho را اعتبارسنجی یا اصلاح میکند. تا زمانی که این موضوع مشخص نشود، بازار در حال معامله در یک خلأ اطلاعاتی است.
سه، حرکات زنجیرهای و سیگنالهای بازیابی. ردیابی اولیه نشان میدهد که وجوه دزدیدهشده به DAI در Curve تبدیل شده و به کیف پول مهاجم منتقل شده است. هرگونه تراکنش بازگشتی، تلاشهای مذاکره یا دیگر نشانههای بازیابی، ورودیهای فوری به حق بیمه ریسک SUMR خواهند بود.
چهار، TVL و جریانهای خالص پس از توقف در مقایسه با پایهگذاری تقریباً ۲۲ میلیون دلاری پیش از سوءاستفاده. TVL یک معیار کامل نیست، اما یک خوانش سریع از اعتماد و چسبندگی سرمایه پس از یک حادثه است.
حق بیمه ریسک SUMR زمانی که حسابداری خزانه خراب میشود، دوباره قیمتگذاری میشود.
من این را بهعنوان یک رویداد کلاسیک "شوک اعتماد" میبینم، نه یک تیتر سوءاستفاده روتین. حقایق سخت کافی هستند: حدود ۶ میلیون دلار دزدیده شده، تمام خزانههای Lazy Summer توسط نگهبانان متوقف شده و SUMR بیش از ۱۸٪ کاهش یافته است. بازار به شما میگوید که هنوز به طور کامل به آسیبها باور ندارد.
الگوی قابل توجه، عدم تطابق بین توقف گسترده و توصیف باریک سوءاستفاده است. اگر مشکل واقعاً به حسابداری خزانههای خودکار USDC محدود باشد، پروتکل در نهایت میتواند یک اصلاح محدود و یک بازگشایی کنترلشده را ارتباط دهد. در آن سناریو، نقطه تأیید زبان صریحی است که توقف بهعنوان احتیاطی در سراسر خزانهها است، همراه با یک بررسی پس از مرگ که نقص حسابداری را توضیح میدهد و نشان میدهد که چگونه برطرف شده است.
نقطه بیاعتباری هر بهروزرسانی است که سطح تحت تأثیر را فراتر از خزانههای USDC گسترش دهد یا پیشنهاد کند که انحراف حسابداری بر چندین حالت خزانه تأثیر گذاشته است.
سناریوی دوم این است که مکانیکهای بهرهبرداری درک شدهاند، اما پروتکل نمیتواند بهطور فوری ثابت کند که حسابداری سهم برای تمام کاربران قبل از توقف درست بوده است. اینجاست که محصولات خزانه به هم میریزند. اگر واریزها و برداشتها در حالی که حسابداری قابل دستکاری بود، انجام شده باشد، سوال "چه کسی چه چیزی را از دست داد" سختتر از یک عدد سرقت ساده میشود.
در اینجا، من به دنبال زبان مربوط به تطبیق وضعیت خزانه، عکسبرداریها یا هر فرآیند دیگری برای کمیتسازی تأثیر کاربران هستم. بازار صبر نخواهد کرد اگر آن تطبیق حسابداری بدون پایان باشد.
سناریوی سوم، دیدگاههای بازیابی است. ردیابیهای اولیه نشان میدهد که وجوه به DAI در Curve تبدیل شده و به کیف پول مهاجم منتقل شده است. اگر سیگنالهای بازیابی معتبر وجود داشته باشد، توکن میتواند به سرعت دوباره قیمتگذاری شود زیرا ریسک دنبالهای کاهش مییابد. اگر وجوه بهطور تمیز و بدون مسیر بازیابی قابل مشاهده حرکت کنند، حق بیمه ریسک تمایل دارد که بالا بماند زیرا ضرر در ذهن معاملهگران نهایی میشود.
در تمام سناریوها، عامل اصلی یکسان است: حسابداری خزانه، ستون فقرات محصول است. وقتی که این شکسته شود، توکن مانند اعتبار غیرمطمئن معامله میشود تا زمانی که پروتکل بتواند دامنه را ثابت کند، توضیح دهد که اصلاح چگونه انجام میشود و نشان دهد که آیا ارزش قابل بازیابی وجود دارد یا خیر.
فرضیه تأیید میشود اگر بهروزرسانیهای بعدی Summer.fi شعاع انفجار را به خزانههای خودکار USDC محدود کند و یک اصلاح حسابداری ملموس و قابل تأیید ارائه دهد که از یک بازگشایی کنترلشده خزانه پشتیبانی کند.