
Summer.fi ने ~$6M हमले के बाद Lazy Vaults रोके, SUMR 18%…
प्रारंभिक विश्लेषण से पता चलता है कि Aave और Morpho के माध्यम से रूट किए गए स्वचालित USDC वॉल्ट्स में फ्लैश-लोन लेखा हेरफेर हुआ है।
Summer.fi ने 6 जुलाई को सभी Lazy Summer Protocol वॉल्ट्स को रोक दिया, जब एक सुरक्षा खामी के कारण Ethereum-आधारित यील्ड प्लेटफॉर्म से लगभग $6 मिलियन की राशि निकाली गई। घटना के सार्वजनिक होने के बाद, SUMR की कीमत 18% से अधिक गिर गई क्योंकि बाजार ने प्रोटोकॉल के जोखिम को फिर से मूल्यांकित किया।
मुख्य निष्कर्ष
- सभी लेज़ी समर प्रोटोकॉल वॉल्ट्स को रोक दिया गया था क्योंकि एक हमले ने समर.फाई से लगभग $6 मिलियन निकाल लिए थे।उपजउत्पाद।
- प्रारंभिक तकनीकी रिपोर्टों में एक फ्लैश-लोन-चालित लेखा हेरफेर का वर्णन किया गया है जो स्वचालित USDC वॉल्ट्स में हमलावर को बढ़ाने की अनुमति देता है।संपत्तियाँऔर लाभ के लिए भुनाएं।
- SUMR ने घटना के खुलासे के बाद 18% से अधिक की बिक्री की।
- लेज़ी समर की रणनीति Aave और Morpho सहित विभिन्न स्थानों पर जमा को मार्गदर्शित करती है, और प्रोटोकॉल घटना से पहले DeFiLlama के अनुसार लगभग $22 मिलियन TVL के करीब था।
Summer.fi ने ~$6M निकासी के बाद Lazy Summer Vaults को रोक दिया, SUMR 18%+ गिरा।
Summer.fi ने एक ऐसे हमले के बाद सभी Lazy Summer Protocol वॉल्ट्स को रोक दिया, जिसके परिणामस्वरूप लगभग $6 मिलियन की चोरी हुई। यह रोक प्रोटोकॉल गार्डियन्स के माध्यम से लागू की गई, Summer.fi ने पुष्टि की कि वह जांच कर रहा है और अतिरिक्त नुकसान को रोकने के लिए वॉल्ट्स को रोका गया है।
बाजार संरचना के दृष्टिकोण से, यह शीर्ष संख्या से अधिक महत्वपूर्ण है। एक प्रोटोकॉल-व्यापी विराम वह नियंत्रण कदम है जो आप तब उठाते हैं जब आप अभी तक सिस्टम की आंतरिक लेखा प्रणाली पर भरोसा नहीं करते। यदि यह स्पष्ट रूप से अलग किया गया होता और वास्तविक समय में पूरी तरह से समझा गया होता, तो आप एक संकीर्ण प्रतिक्रिया की अपेक्षा करते। इसके बजाय, संरक्षकों ने लेज़ी समर में ब्रेक लगा दिए।
टोकन बाजार ने इसे उसी तरह से लिया। SUMR का मूल्य अनावरण के बाद 18% से अधिक गिर गया। यह धीमी गिरावट नहीं है। यह अनिश्चितता का तेज पुनर्मूल्यांकन है, और यह तब तक बनी रहती है जब तक व्यापारियों को दो चीजें नहीं मिल जातीं: एक सीमित मूल कारण और पुनर्प्राप्ति का एक विश्वसनीय मार्ग।
स्वचालित USDC वॉल्ट्स में फ्लैश-लोन लेखा हेराफेरी
प्रारंभिक विश्लेषणों में इस हमले का वर्णन एक फ्लैश लोन हमले के रूप में किया गया है जिसने लेज़ी समर के स्वचालित USDC वॉल्ट्स में लेखांकन तर्क को हेरफेर किया। फ्लैश लोन एक ही लेनदेन के भीतर उधार लिए जाते हैं और चुकाए जाते हैं, जिससे हमलावर को बिना दीर्घकालिक संपार्श्विक के अस्थायी रूप से बड़े आकार तक पहुंचने की अनुमति मिलती है।संपार्श्विकव्यवहार में, उस आकार का अक्सर उपयोग एक प्रोटोकॉल की धारणाओं को उजागर करने के लिए किया जाता है कि यह संपत्तियों, शेयरों या रिडेम्प्शन की गणना कैसे करता है।
यहां, प्रारंभिक विवरण सीधा है: हमलावर ने फ्लैश लोन का उपयोग करके वॉल्ट की रिपोर्ट की गई संपत्तियों को बढ़ाया, फिर उस बढ़ी हुई स्थिति के खिलाफ शुद्ध लाभ के लिए रिडीम किया। DeFi सुरक्षा शोधकर्ता भरी ने इसे “कुल संपत्तियों को बढ़ाने के लिए कोड में एक दोष” के रूप में वर्णित किया, जिसे हमलावर को “शुद्ध लाभ के लिए रिडीम करने की अनुमति दी गई।”
पथ के दो हिस्से अभी भी स्पष्ट रूप से प्रारंभिक हैं। फ्लैश लोन "रिपोर्ट के अनुसार मोर्फो के माध्यम से प्राप्त किया गया था," और चुराए गए फंड "स्पष्ट रूप से परिवर्तित किए गए थे।"डाई"Curve" पर होने के बाद हमलावर के वॉलेट में स्थानांतरित किया गया। ये योग्यताएँ महत्वपूर्ण हैं क्योंकि वे यह निर्धारित करती हैं कि क्या पुष्टि की गई है और क्या अभी भी ऑन-चेन ट्रेस से पुनर्निर्माण किया जा रहा है।
यहाँ जो बात प्रमुख है वह है शोषण वर्ग। जब विफलता का तरीका लेखांकन तर्क होता है, तो जोखिम केवल अंतिम लेनदेन में दरवाजे से बाहर गई राशि तक सीमित नहीं होता। मुख्य प्रश्न यह बनता है कि क्या शेयर और संपत्ति का लेखांकन विराम से पहले वॉल्ट राज्यों में विकृत था, और क्या कोई उपयोगकर्ता उस समय वॉल्ट के साथ बातचीत की जब लेखांकन गलत था।
कैसे लेज़ी समर का Aave और Morpho रूटिंग एक्सपोजर को आकार देता है
लेज़ी समर को बिना किसी हस्तक्षेप के लाभ कमाने के लिए डिज़ाइन किया गया है। यह उच्च रिटर्न की तलाश में एवे और मोरफो सहित उधारी बाजारों में जमा राशि को रूट करता है, और यह उपयोगकर्ताओं की ओर से पुनर्संतुलन को संभालता है। यह रूटिंग ही उत्पाद है, लेकिन यह यह भी निर्धारित करता है कि व्यापारी दूसरे क्रम के जोखिम के बारे में कैसे सोचते हैं।
प्रथम-क्रम प्रभाव स्वयं वॉल्ट परत है। एक DeFi वॉल्ट उपयोगकर्ता जमा को एकत्रित करता है, उन्हें रणनीतियों में तैनात करता है, और उन साझा हिस्सों को जारी करता है जो एकत्रित संपत्तियों पर दावे का प्रतिनिधित्व करते हैं। यदि उन हिस्सों की कीमत तय करने या कुल संपत्तियों की गणना करने वाली लेखांकन तर्क को हेरफेर किया जा सकता है, तो वॉल्ट को खाली किया जा सकता है, भले ही अंतर्निहित स्थान सामान्य रूप से कार्य कर रहे हों।
दूसरे क्रम का प्रभाव धारणा और प्रवाह है। Summer.fi के पास लगभग $22 मिलियन थे।कुल मूल्य लॉक किया गयाशोषण से पहले, DeFiLlama के डेटा के अनुसार। लगभग $6 मिलियन की चोरी उस आधार का एक महत्वपूर्ण हिस्सा है। भले ही Aave, Morpho, और Curve केवल लेनदेन के मार्ग में स्थान हैं और खुद शोषित नहीं हुए हैं, TVL के सापेक्ष उस आकार का नुकसान जोखिम की भूख को तेजी से संकुचित कर देता है। यांत्रिक परिणाम आमतौर पर निकासी और स्वचालित रणनीतियों में पूंजी पार्क करने की कम इच्छा होती है जब तक कि पोस्ट-मॉर्टम नहीं आ जाता।
यहाँ "किसे लाभ होता है" प्रासंगिक हो जाता है। एक लेखांकन शोषण में, लाभार्थी वह पक्ष होता है जो वॉल्ट को दावों को गलत मूल्यांकन करने के लिए मजबूर कर सकता है। बाकी सभी लोग पतलेपन या सीधे नुकसान के माध्यम से भुगतान करते हैं, और टोकन बाजार तुरंत उस शासन और ब्रांड के नुकसान की कीमत लगाता है, जो SUMR कदम को दर्शाता है।
जांच, गार्जियन पॉज़, और ऑन-चेन संकेत जो व्यापारी ट्रैक कर रहे हैं
यह घटना पहली बार ब्लॉकचेन सुरक्षा फर्म Blockaid द्वारा उठाई गई थी, जिसमें PeckShield और CertiK ने भी संदिग्ध गतिविधियों की रिपोर्ट की। Summer.fi ने फिर जांच और अतिरिक्त नुकसान को रोकने के लिए गार्जियन पॉज़ की पुष्टि की।
अगले उत्प्रेरक ज्यादातर द्विआधारी हैं, और वे उस जोखिम को फिर से मूल्यांकन करने के लिए बाजार की आवश्यकताओं के साथ साफ-सुथरे ढंग से मैप करते हैं।
एक, Summer.fi का अगला अपडेट दायरे पर। पॉज़ को सभी लेज़ी समर प्रोटोकॉल वॉल्ट्स पर लागू होने के रूप में वर्णित किया गया था, लेकिन शोषण विवरण स्वचालित USDC वॉल्ट्स पर केंद्रित हैं। व्यापारी यह स्पष्टता ढूंढेंगे कि क्या पॉज़ एक सावधानी के रूप में समान है या अन्य वॉल्ट्स पर आर्थिक प्रभाव पड़ा है।
दो, एक तकनीकी लेख जो सटीक लेखा-तर्क दोष की पुष्टि करता है और Morpho के माध्यम से रिपोर्ट किए गए फ्लैश-लोन पथ को मान्य या संशोधित करता है। जब तक यह स्पष्ट नहीं होता, बाजार एक सूचना शून्य में व्यापार कर रहा है।
तीन, ऑन-चेन आंदोलन और वसूली संकेत। प्रारंभिक ट्रेसिंग से पता चलता है कि चुराए गए फंड को Curve पर DAI में परिवर्तित किया गया और हमलावर के वॉलेट में स्थानांतरित किया गया। कोई भी वापसी लेनदेन, बातचीत के प्रयास, या अन्य वसूली के संकेत SUMR के जोखिम प्रीमियम में तात्कालिक इनपुट होंगे।
चार, पॉज़ के बाद TVL और नेट फ्लो लगभग $22 मिलियन पूर्व-शोषण आधार रेखा की तुलना में। TVL एक सही मीट्रिक नहीं है, लेकिन यह एक घटना के बाद विश्वास और पूंजी की स्थिरता पर तेजी से पढ़ाई है।
SUMR जोखिम प्रीमियम तब पुनर्मूल्यांकन करता है जब वॉल्ट लेखा टूटता है
मैं इसे एक क्लासिक “ट्रस्ट शॉक” घटना के रूप में मानता हूं, न कि एक नियमित शोषण शीर्षक के रूप में। कठोर तथ्य पर्याप्त हैं: लगभग $6 मिलियन चुराए गए, सभी लेज़ी समर वॉल्ट्स को गार्जियनों द्वारा रोका गया, और SUMR 18% से अधिक गिर गया। बाजार आपको बता रहा है कि यह अभी तक विश्वास नहीं करता कि नुकसान पूरी तरह से सीमित है।
ध्यान देने योग्य पैटर्न यह है कि व्यापक पॉज़ और संकीर्ण शोषण विवरण के बीच असंगति है। यदि समस्या वास्तव में स्वचालित USDC वॉल्ट लेखा तक सीमित है, तो प्रोटोकॉल अंततः एक दायरे में सुधार और नियंत्रित पुनः खोलने की संचार कर सकता है। उस परिदृश्य में, पुष्टि बिंदु स्पष्ट भाषा है कि पॉज़ सभी वॉल्ट्स के लिए सावधानी बरतने वाला है, एक पोस्ट-मॉर्टम के साथ जो लेखा दोष को समझाता है और दिखाता है कि इसे कैसे पैच किया गया है। अमान्यकरण बिंदु कोई भी अपडेट है जो प्रभावित सतह को USDC वॉल्ट्स से परे बढ़ाता है या सुझाव देता है कि लेखा विकृति ने कई वॉल्ट राज्यों को प्रभावित किया।
एक दूसरा परिदृश्य यह है कि शोषण तंत्र को समझा गया है, लेकिन प्रोटोकॉल तुरंत यह साबित नहीं कर सकता कि सभी उपयोगकर्ताओं के लिए शेयर लेखांकन सही था जो कि विराम में जा रहा था। यहीं पर वॉल्ट उत्पाद गड़बड़ हो जाते हैं। यदि जमा और निकासी उस समय हुई जब लेखांकन को हेरफेर किया जा सकता था, तो "किसने क्या खोया" प्रश्न एकल चोरी संख्या से अधिक कठिन हो जाता है। यहाँ, मैं वॉल्ट राज्यों, स्नैपशॉट्स, या किसी भी प्रक्रिया के बारे में भाषा की तलाश करूंगा जो उपयोगकर्ता प्रभाव को मापने के लिए हो। यदि वह लेखांकन सामंजस्य खुला है, तो बाजार धैर्यपूर्वक इंतजार नहीं करेगा।
तीसरा परिदृश्य पुनर्प्राप्ति दृष्टिकोण है। प्रारंभिक ट्रेसिंग से पता चलता है कि फंड को Curve पर DAI में परिवर्तित किया गया और हमलावर वॉलेट में स्थानांतरित किया गया। यदि विश्वसनीय पुनर्प्राप्ति संकेत हैं, तो टोकन जल्दी से पुनर्मूल्यांकन कर सकता है क्योंकि पूंछ जोखिम कम हो जाता है। यदि फंड बिना किसी स्पष्ट पुनर्प्राप्ति पथ के साफ-सुथरे तरीके से चलते रहते हैं, तो जोखिम प्रीमियम ऊँचा बना रहता है क्योंकि नुकसान व्यापारियों के मन में अंतिम हो जाता है।
सभी परिदृश्यों में, मुख्य चालक वही है: वॉल्ट लेखांकन उत्पाद की रीढ़ है। जब यह टूटता है, तो टोकन असुरक्षित क्रेडिट की तरह व्यापार करता है जब तक कि प्रोटोकॉल दायरे को साबित नहीं कर सकता, समाधान को समझा नहीं सकता, और दिखा नहीं सकता कि क्या कोई मूल्य पुनर्प्राप्त किया जा सकता है। यदि Summer.fi के अगले अपडेट विस्फोट के दायरे को स्वचालित USDC वॉल्ट्स तक संकीर्ण करते हैं और एक ठोस, सत्यापन योग्य लेखांकन समाधान प्रदान करते हैं जो नियंत्रित वॉल्ट फिर से खोलने का समर्थन करता है, तो सिद्धांत की पुष्टि होती है।