A dimly lit bank vault corridor with metal vault
क्रिप्टो

Summer.fi ने ~$6M हमले के बाद Lazy Vaults रोके, SUMR 18%…

प्रारंभिक विश्लेषण से पता चलता है कि Aave और Morpho के माध्यम से रूट किए गए स्वचालित USDC वॉल्ट्स में फ्लैश-लोन लेखा हेरफेर हुआ है।

AI News Crypto Editorial Team द्वारा7 मिनट का पठन

Summer.fi ने 6 जुलाई को सभी Lazy Summer Protocol वॉल्ट्स को रोक दिया, जब एक सुरक्षा खामी के कारण Ethereum-आधारित यील्ड प्लेटफॉर्म से लगभग $6 मिलियन की राशि निकाली गई। घटना के सार्वजनिक होने के बाद, SUMR की कीमत 18% से अधिक गिर गई क्योंकि बाजार ने प्रोटोकॉल के जोखिम को फिर से मूल्यांकित किया।

मुख्य निष्कर्ष

  • सभी लेज़ी समर प्रोटोकॉल वॉल्ट्स को रोक दिया गया था क्योंकि एक हमले ने समर.फाई से लगभग $6 मिलियन निकाल लिए थे।उपजउत्पाद।
  • प्रारंभिक तकनीकी रिपोर्टों में एक फ्लैश-लोन-चालित लेखा हेरफेर का वर्णन किया गया है जो स्वचालित USDC वॉल्ट्स में हमलावर को बढ़ाने की अनुमति देता है।संपत्तियाँऔर लाभ के लिए भुनाएं।
  • SUMR ने घटना के खुलासे के बाद 18% से अधिक की बिक्री की।
  • लेज़ी समर की रणनीति Aave और Morpho सहित विभिन्न स्थानों पर जमा को मार्गदर्शित करती है, और प्रोटोकॉल घटना से पहले DeFiLlama के अनुसार लगभग $22 मिलियन TVL के करीब था।

Summer.fi ने ~$6M निकासी के बाद Lazy Summer Vaults को रोक दिया, SUMR 18%+ गिरा।

Summer.fi ने एक ऐसे हमले के बाद सभी Lazy Summer Protocol वॉल्ट्स को रोक दिया, जिसके परिणामस्वरूप लगभग $6 मिलियन की चोरी हुई। यह रोक प्रोटोकॉल गार्डियन्स के माध्यम से लागू की गई, Summer.fi ने पुष्टि की कि वह जांच कर रहा है और अतिरिक्त नुकसान को रोकने के लिए वॉल्ट्स को रोका गया है।

बाजार संरचना के दृष्टिकोण से, यह शीर्ष संख्या से अधिक महत्वपूर्ण है। एक प्रोटोकॉल-व्यापी विराम वह नियंत्रण कदम है जो आप तब उठाते हैं जब आप अभी तक सिस्टम की आंतरिक लेखा प्रणाली पर भरोसा नहीं करते। यदि यह स्पष्ट रूप से अलग किया गया होता और वास्तविक समय में पूरी तरह से समझा गया होता, तो आप एक संकीर्ण प्रतिक्रिया की अपेक्षा करते। इसके बजाय, संरक्षकों ने लेज़ी समर में ब्रेक लगा दिए।

टोकन बाजार ने इसे उसी तरह से लिया। SUMR का मूल्य अनावरण के बाद 18% से अधिक गिर गया। यह धीमी गिरावट नहीं है। यह अनिश्चितता का तेज पुनर्मूल्यांकन है, और यह तब तक बनी रहती है जब तक व्यापारियों को दो चीजें नहीं मिल जातीं: एक सीमित मूल कारण और पुनर्प्राप्ति का एक विश्वसनीय मार्ग।

स्वचालित USDC वॉल्ट्स में फ्लैश-लोन लेखा हेराफेरी

प्रारंभिक विश्लेषणों में इस हमले का वर्णन एक फ्लैश लोन हमले के रूप में किया गया है जिसने लेज़ी समर के स्वचालित USDC वॉल्ट्स में लेखांकन तर्क को हेरफेर किया। फ्लैश लोन एक ही लेनदेन के भीतर उधार लिए जाते हैं और चुकाए जाते हैं, जिससे हमलावर को बिना दीर्घकालिक संपार्श्विक के अस्थायी रूप से बड़े आकार तक पहुंचने की अनुमति मिलती है।संपार्श्विकव्यवहार में, उस आकार का अक्सर उपयोग एक प्रोटोकॉल की धारणाओं को उजागर करने के लिए किया जाता है कि यह संपत्तियों, शेयरों या रिडेम्प्शन की गणना कैसे करता है।

यहां, प्रारंभिक विवरण सीधा है: हमलावर ने फ्लैश लोन का उपयोग करके वॉल्ट की रिपोर्ट की गई संपत्तियों को बढ़ाया, फिर उस बढ़ी हुई स्थिति के खिलाफ शुद्ध लाभ के लिए रिडीम किया। DeFi सुरक्षा शोधकर्ता भरी ने इसे “कुल संपत्तियों को बढ़ाने के लिए कोड में एक दोष” के रूप में वर्णित किया, जिसे हमलावर को “शुद्ध लाभ के लिए रिडीम करने की अनुमति दी गई।”

पथ के दो हिस्से अभी भी स्पष्ट रूप से प्रारंभिक हैं। फ्लैश लोन "रिपोर्ट के अनुसार मोर्फो के माध्यम से प्राप्त किया गया था," और चुराए गए फंड "स्पष्ट रूप से परिवर्तित किए गए थे।"डाई"Curve" पर होने के बाद हमलावर के वॉलेट में स्थानांतरित किया गया। ये योग्यताएँ महत्वपूर्ण हैं क्योंकि वे यह निर्धारित करती हैं कि क्या पुष्टि की गई है और क्या अभी भी ऑन-चेन ट्रेस से पुनर्निर्माण किया जा रहा है।

यहाँ जो बात प्रमुख है वह है शोषण वर्ग। जब विफलता का तरीका लेखांकन तर्क होता है, तो जोखिम केवल अंतिम लेनदेन में दरवाजे से बाहर गई राशि तक सीमित नहीं होता। मुख्य प्रश्न यह बनता है कि क्या शेयर और संपत्ति का लेखांकन विराम से पहले वॉल्ट राज्यों में विकृत था, और क्या कोई उपयोगकर्ता उस समय वॉल्ट के साथ बातचीत की जब लेखांकन गलत था।

कैसे लेज़ी समर का Aave और Morpho रूटिंग एक्सपोजर को आकार देता है

लेज़ी समर को बिना किसी हस्तक्षेप के लाभ कमाने के लिए डिज़ाइन किया गया है। यह उच्च रिटर्न की तलाश में एवे और मोरफो सहित उधारी बाजारों में जमा राशि को रूट करता है, और यह उपयोगकर्ताओं की ओर से पुनर्संतुलन को संभालता है। यह रूटिंग ही उत्पाद है, लेकिन यह यह भी निर्धारित करता है कि व्यापारी दूसरे क्रम के जोखिम के बारे में कैसे सोचते हैं।

प्रथम-क्रम प्रभाव स्वयं वॉल्ट परत है। एक DeFi वॉल्ट उपयोगकर्ता जमा को एकत्रित करता है, उन्हें रणनीतियों में तैनात करता है, और उन साझा हिस्सों को जारी करता है जो एकत्रित संपत्तियों पर दावे का प्रतिनिधित्व करते हैं। यदि उन हिस्सों की कीमत तय करने या कुल संपत्तियों की गणना करने वाली लेखांकन तर्क को हेरफेर किया जा सकता है, तो वॉल्ट को खाली किया जा सकता है, भले ही अंतर्निहित स्थान सामान्य रूप से कार्य कर रहे हों।

दूसरे क्रम का प्रभाव धारणा और प्रवाह है। Summer.fi के पास लगभग $22 मिलियन थे।कुल मूल्य लॉक किया गयाशोषण से पहले, DeFiLlama के डेटा के अनुसार। लगभग $6 मिलियन की चोरी उस आधार का एक महत्वपूर्ण हिस्सा है। भले ही Aave, Morpho, और Curve केवल लेनदेन के मार्ग में स्थान हैं और खुद शोषित नहीं हुए हैं, TVL के सापेक्ष उस आकार का नुकसान जोखिम की भूख को तेजी से संकुचित कर देता है। यांत्रिक परिणाम आमतौर पर निकासी और स्वचालित रणनीतियों में पूंजी पार्क करने की कम इच्छा होती है जब तक कि पोस्ट-मॉर्टम नहीं आ जाता।

यहाँ "किसे लाभ होता है" प्रासंगिक हो जाता है। एक लेखांकन शोषण में, लाभार्थी वह पक्ष होता है जो वॉल्ट को दावों को गलत मूल्यांकन करने के लिए मजबूर कर सकता है। बाकी सभी लोग पतलेपन या सीधे नुकसान के माध्यम से भुगतान करते हैं, और टोकन बाजार तुरंत उस शासन और ब्रांड के नुकसान की कीमत लगाता है, जो SUMR कदम को दर्शाता है।

जांच, गार्जियन पॉज़, और ऑन-चेन संकेत जो व्यापारी ट्रैक कर रहे हैं

यह घटना पहली बार ब्लॉकचेन सुरक्षा फर्म Blockaid द्वारा उठाई गई थी, जिसमें PeckShield और CertiK ने भी संदिग्ध गतिविधियों की रिपोर्ट की। Summer.fi ने फिर जांच और अतिरिक्त नुकसान को रोकने के लिए गार्जियन पॉज़ की पुष्टि की।

अगले उत्प्रेरक ज्यादातर द्विआधारी हैं, और वे उस जोखिम को फिर से मूल्यांकन करने के लिए बाजार की आवश्यकताओं के साथ साफ-सुथरे ढंग से मैप करते हैं।

एक, Summer.fi का अगला अपडेट दायरे पर। पॉज़ को सभी लेज़ी समर प्रोटोकॉल वॉल्ट्स पर लागू होने के रूप में वर्णित किया गया था, लेकिन शोषण विवरण स्वचालित USDC वॉल्ट्स पर केंद्रित हैं। व्यापारी यह स्पष्टता ढूंढेंगे कि क्या पॉज़ एक सावधानी के रूप में समान है या अन्य वॉल्ट्स पर आर्थिक प्रभाव पड़ा है।

दो, एक तकनीकी लेख जो सटीक लेखा-तर्क दोष की पुष्टि करता है और Morpho के माध्यम से रिपोर्ट किए गए फ्लैश-लोन पथ को मान्य या संशोधित करता है। जब तक यह स्पष्ट नहीं होता, बाजार एक सूचना शून्य में व्यापार कर रहा है।

तीन, ऑन-चेन आंदोलन और वसूली संकेत। प्रारंभिक ट्रेसिंग से पता चलता है कि चुराए गए फंड को Curve पर DAI में परिवर्तित किया गया और हमलावर के वॉलेट में स्थानांतरित किया गया। कोई भी वापसी लेनदेन, बातचीत के प्रयास, या अन्य वसूली के संकेत SUMR के जोखिम प्रीमियम में तात्कालिक इनपुट होंगे।

चार, पॉज़ के बाद TVL और नेट फ्लो लगभग $22 मिलियन पूर्व-शोषण आधार रेखा की तुलना में। TVL एक सही मीट्रिक नहीं है, लेकिन यह एक घटना के बाद विश्वास और पूंजी की स्थिरता पर तेजी से पढ़ाई है।

SUMR जोखिम प्रीमियम तब पुनर्मूल्यांकन करता है जब वॉल्ट लेखा टूटता है

मैं इसे एक क्लासिक “ट्रस्ट शॉक” घटना के रूप में मानता हूं, न कि एक नियमित शोषण शीर्षक के रूप में। कठोर तथ्य पर्याप्त हैं: लगभग $6 मिलियन चुराए गए, सभी लेज़ी समर वॉल्ट्स को गार्जियनों द्वारा रोका गया, और SUMR 18% से अधिक गिर गया। बाजार आपको बता रहा है कि यह अभी तक विश्वास नहीं करता कि नुकसान पूरी तरह से सीमित है।

ध्यान देने योग्य पैटर्न यह है कि व्यापक पॉज़ और संकीर्ण शोषण विवरण के बीच असंगति है। यदि समस्या वास्तव में स्वचालित USDC वॉल्ट लेखा तक सीमित है, तो प्रोटोकॉल अंततः एक दायरे में सुधार और नियंत्रित पुनः खोलने की संचार कर सकता है। उस परिदृश्य में, पुष्टि बिंदु स्पष्ट भाषा है कि पॉज़ सभी वॉल्ट्स के लिए सावधानी बरतने वाला है, एक पोस्ट-मॉर्टम के साथ जो लेखा दोष को समझाता है और दिखाता है कि इसे कैसे पैच किया गया है। अमान्यकरण बिंदु कोई भी अपडेट है जो प्रभावित सतह को USDC वॉल्ट्स से परे बढ़ाता है या सुझाव देता है कि लेखा विकृति ने कई वॉल्ट राज्यों को प्रभावित किया।

एक दूसरा परिदृश्य यह है कि शोषण तंत्र को समझा गया है, लेकिन प्रोटोकॉल तुरंत यह साबित नहीं कर सकता कि सभी उपयोगकर्ताओं के लिए शेयर लेखांकन सही था जो कि विराम में जा रहा था। यहीं पर वॉल्ट उत्पाद गड़बड़ हो जाते हैं। यदि जमा और निकासी उस समय हुई जब लेखांकन को हेरफेर किया जा सकता था, तो "किसने क्या खोया" प्रश्न एकल चोरी संख्या से अधिक कठिन हो जाता है। यहाँ, मैं वॉल्ट राज्यों, स्नैपशॉट्स, या किसी भी प्रक्रिया के बारे में भाषा की तलाश करूंगा जो उपयोगकर्ता प्रभाव को मापने के लिए हो। यदि वह लेखांकन सामंजस्य खुला है, तो बाजार धैर्यपूर्वक इंतजार नहीं करेगा।

तीसरा परिदृश्य पुनर्प्राप्ति दृष्टिकोण है। प्रारंभिक ट्रेसिंग से पता चलता है कि फंड को Curve पर DAI में परिवर्तित किया गया और हमलावर वॉलेट में स्थानांतरित किया गया। यदि विश्वसनीय पुनर्प्राप्ति संकेत हैं, तो टोकन जल्दी से पुनर्मूल्यांकन कर सकता है क्योंकि पूंछ जोखिम कम हो जाता है। यदि फंड बिना किसी स्पष्ट पुनर्प्राप्ति पथ के साफ-सुथरे तरीके से चलते रहते हैं, तो जोखिम प्रीमियम ऊँचा बना रहता है क्योंकि नुकसान व्यापारियों के मन में अंतिम हो जाता है।

सभी परिदृश्यों में, मुख्य चालक वही है: वॉल्ट लेखांकन उत्पाद की रीढ़ है। जब यह टूटता है, तो टोकन असुरक्षित क्रेडिट की तरह व्यापार करता है जब तक कि प्रोटोकॉल दायरे को साबित नहीं कर सकता, समाधान को समझा नहीं सकता, और दिखा नहीं सकता कि क्या कोई मूल्य पुनर्प्राप्त किया जा सकता है। यदि Summer.fi के अगले अपडेट विस्फोट के दायरे को स्वचालित USDC वॉल्ट्स तक संकीर्ण करते हैं और एक ठोस, सत्यापन योग्य लेखांकन समाधान प्रदान करते हैं जो नियंत्रित वॉल्ट फिर से खोलने का समर्थन करता है, तो सिद्धांत की पुष्टि होती है।

स्रोत