A dimly lit bank vault corridor with metal vault
Tiền điện tử

Summer.fi Ngừng Vault Lazy Sau Khi Bị Tấn Công 6 Triệu USD

Phân tích ban đầu chỉ ra một sự thao túng kế toán vay nhanh trong các kho lưu trữ USDC tự động được chuyển qua Aave và Morpho.

Bởi AI News Crypto Editorial Team7 phút đọc

Summer.fi đã tạm dừng tất cả các kho Lazy Summer Protocol vào ngày 6 tháng 7 sau khi một cuộc tấn công đã rút khoảng 6 triệu đô la từ nền tảng yield dựa trên Ethereum. SUMR đã giảm hơn 18% khi thị trường định giá lại rủi ro của giao thức sau khi sự cố trở nên công khai.

Điểm chính

  • Tất cả các kho Lazy Summer Protocol đã bị tạm dừng sau khi một cuộc tấn công đã rút khoảng 6 triệu đô la từ sản phẩm yield.
  • Các phân tích kỹ thuật ban đầu mô tả một cuộc thao túng kế toán dựa trên vay nhanh trong các kho USDC tự động cho phép kẻ tấn công thổi phồng tài sản và đổi lấy lợi nhuận.
  • SUMR đã bán tháo hơn 18% sau khi sự cố được công bố.
  • Chiến lược của Lazy Summer chuyển hướng các khoản tiền gửi qua các nền tảng bao gồm Aave và Morpho, và giao thức đã đạt gần 22 triệu đô la TVL trước sự cố theo DeFiLlama.

Summer.fi Ngừng các Vault Lazy Summer Sau Khi Bị Rút Khoảng ~$6 Triệu, SUMR Giảm Hơn 18%

Summer.fi đã ngừng tất cả các kho Lazy Summer Protocol sau một vụ khai thác dẫn đến việc đánh cắp khoảng 6 triệu đô la. Việc tạm dừng được thực hiện thông qua các người bảo vệ giao thức, với Summer.fi xác nhận rằng họ đang điều tra và các kho đã bị tạm dừng để ngăn chặn thêm tổn thất.

Từ góc độ cấu trúc thị trường, điều đó quan trọng hơn con số tiêu đề. Một sự tạm dừng toàn bộ giao thức là động thái kiềm chế mà bạn thực hiện khi bạn chưa tin tưởng vào kế toán nội bộ của hệ thống. Nếu điều này được phân lập rõ ràng và hoàn toàn hiểu biết trong thời gian thực, bạn sẽ mong đợi một phản ứng hẹp hơn. Thay vào đó, các người bảo vệ đã phanh lại trên toàn bộ Lazy Summer.

Thị trường token cũng đã phản ứng tương tự. SUMR giảm hơn 18% sau khi lỗ hổng được phát hiện. Đó không phải là một sự giảm giá từ từ. Đó là một sự định giá lại nhanh chóng của sự không chắc chắn, và nó thường kéo dài cho đến khi các nhà giao dịch có được hai điều: nguyên nhân gốc rễ đã được xác định và một con đường phục hồi đáng tin cậy.

Gian lận kế toán Flash-Loan trong các kho USDC tự động

Các phân tích ban đầu mô tả lỗ hổng này là một cuộc tấn công vay nhanh đã thao túng logic kế toán trong các kho lưu trữ USDC tự động của Lazy Summer.

Vay nhanh được vay và trả trong một giao dịch duy nhất, cho phép kẻ tấn công tạm thời truy cập vào số tiền lớn mà không cần phải đặt cọc lâu dài.tài sản thế chấpTrong thực tế, kích thước đó thường được sử dụng để nhấn mạnh các giả định của một giao thức về cách nó tính toán tài sản, cổ phần hoặc việc đổi lại.

Ở đây, mô tả sơ bộ rất đơn giản: kẻ tấn công đã sử dụng khoản vay chớp nhoáng để thổi phồng tài sản báo cáo của kho, sau đó đã đổi lấy lợi nhuận ròng dựa trên trạng thái bị thổi phồng đó. Nhà nghiên cứu an ninh DeFi Bhari đã mô tả đây là “một lỗ hổng trong mã để thổi phồng tổng tài sản,” mà kẻ tấn công sau đó “được phép đổi lấy lợi nhuận ròng.”

Hai phần của con đường vẫn rõ ràng là sơ bộ. Khoản vay chớp nhoáng được “báo cáo là được lấy từ Morpho,” và các khoản tiền bị đánh cắp “có vẻ đã được chuyển đổi thànhDAItrên Curve” trước khi được chuyển đến ví của kẻ tấn công. Những điều kiện đó quan trọng vì chúng xác định những gì đã được xác nhận so với những gì vẫn đang được tái tạo từ các dấu vết trên chuỗi.

Điều nổi bật ở đây là loại khai thác. Khi chế độ thất bại là logic kế toán, rủi ro không chỉ giới hạn ở số tiền đã rời khỏi cửa trong giao dịch cuối cùng. Câu hỏi then chốt trở thành liệu kế toán cổ phần và tài sản có bị bóp méo qua các trạng thái kho trước khi tạm dừng hay không, và liệu có người dùng nào đã tương tác với kho khi kế toán đang sai.

Cách Aave và Morpho Routing của Lazy Summer định hình sự tiếp xúc

Lazy Summer được thiết kế để mang lại lợi nhuận mà không cần can thiệp. Nó chuyển hướng các khoản tiền gửi qua các thị trường cho vay bao gồm Aave và Morpho để tìm kiếm lợi nhuận cao hơn, và nó xử lý việc cân bằng lại thay mặt cho người dùng. Việc chuyển hướng đó là sản phẩm, nhưng nó cũng định hình cách mà các nhà giao dịch suy nghĩ về sự tiếp xúc bậc hai.

Tác động bậc nhất là chính lớp kho. Một kho DeFi tập hợp các khoản tiền gửi của người dùng, triển khai chúng vào các chiến lược và phát hành cổ phiếu đại diện cho quyền yêu cầu đối với các tài sản được tập hợp. Nếu logic kế toán định giá những cổ phiếu đó hoặc tính toán tổng tài sản có thể bị thao túng, kho có thể bị rút cạn ngay cả khi các nền tảng cơ sở đang hoạt động bình thường.

Tác động bậc hai là nhận thức và dòng chảy. Summer.fi có khoảng 22 triệu đô la trongtổng giá trị bị khóatrước khi xảy ra vụ khai thác, theo dữ liệu từ DeFiLlama. Một vụ trộm khoảng 6 triệu đô la là một phần đáng kể trong tổng số đó. Ngay cả khi Aave, Morpho và Curve chỉ là những địa điểm trong con đường giao dịch và không bị khai thác trực tiếp, một khoản lỗ lớn như vậy so với TVL thường nhanh chóng làm giảm khẩu vị rủi ro.

Kết quả cơ học thường là rút tiền và giảm sự sẵn sàng gửi vốn vào các chiến lược tự động cho đến khi có báo cáo hậu sự việc.

Đây là lúc "ai được lợi" trở nên quan trọng. Trong một lỗ hổng kế toán, bên hưởng lợi là bên có thể buộc kho tiền định giá sai các yêu cầu. Tất cả những người khác phải chịu chi phí thông qua sự pha loãng hoặc mất mát hoàn toàn, và thị trường token định giá ngay lập tức những thiệt hại về quản trị và thương hiệu, điều này phản ánh trong động thái SUMR.

Cuộc điều tra, tạm dừng của Guardian, và các manh mối trên chuỗi mà các nhà giao dịch đang theo dõi

Sự cố này lần đầu tiên được công ty bảo mật blockchain Blockaid báo cáo, với PeckShield và CertiK cũng báo cáo hoạt động đáng ngờ. Summer.fi sau đó đã xác nhận cuộc điều tra và tạm dừng của guardian để ngăn chặn tổn thất thêm.

Các yếu tố kích thích tiếp theo chủ yếu là nhị phân, và chúng tương ứng rõ ràng với những gì thị trường cần để định giá lại rủi ro.

Một, cập nhật tiếp theo của Summer.fi về phạm vi. Tạm dừng được mô tả là áp dụng cho tất cả các kho Lazy Summer Protocol, nhưng chi tiết khai thác tập trung vào các kho tự động USDC. Các nhà giao dịch sẽ tìm kiếm sự rõ ràng về việc tạm dừng có đồng nhất như một biện pháp phòng ngừa hay không, hoặc liệu các kho khác có bị ảnh hưởng về mặt kinh tế hay không.

Hai, một bài viết kỹ thuật xác nhận lỗi logic kế toán chính xác và xác thực hoặc sửa đổi con đường vay flash đã báo cáo qua Morpho. Cho đến khi điều đó được xác định, thị trường đang giao dịch trong một khoảng trống thông tin.

Ba, các tín hiệu di chuyển và phục hồi trên chuỗi. Việc truy dấu ban đầu cho thấy các quỹ bị đánh cắp đã được chuyển đổi thành DAI trên Curve và chuyển đến ví của kẻ tấn công. Bất kỳ giao dịch hoàn trả nào, nỗ lực thương lượng, hoặc các dấu hiệu phục hồi khác sẽ là các đầu vào ngay lập tức vào mức phí rủi ro của SUMR.

Bốn, TVL và dòng tiền ròng sau khi tạm dừng so với mức cơ sở khoảng 22 triệu đô la trước khi khai thác. TVL không phải là một chỉ số hoàn hảo, nhưng nó là một cách nhanh chóng để đọc sự tự tin và độ bám giữ vốn sau một sự cố.

Mức phí rủi ro SUMR được định giá lại khi kế toán kho bị hỏng

Tôi coi đây là một sự kiện “sốc niềm tin” cổ điển, không phải là một tiêu đề khai thác thông thường. Những sự thật cứng là đủ: khoảng 6 triệu đô la đã bị đánh cắp, tất cả các kho Lazy Summer đã bị tạm dừng bởi các guardian, và SUMR đã giảm hơn 18%. Thị trường đang cho bạn biết rằng nó vẫn chưa tin rằng thiệt hại đã được giới hạn hoàn toàn.

Mô hình đáng chú ý là sự không khớp giữa việc tạm dừng rộng rãi và mô tả khai thác hẹp. Nếu vấn đề thực sự chỉ giới hạn trong kế toán kho tự động USDC, giao thức cuối cùng có thể truyền đạt một bản sửa chữa có phạm vi và một sự mở lại có kiểm soát. Trong kịch bản đó, điểm xác nhận là ngôn ngữ rõ ràng rằng việc tạm dừng là phòng ngừa trên tất cả các kho, kết hợp với một báo cáo hậu sự giải thích lỗi kế toán và cho thấy cách nó được vá.

Điểm vô hiệu hóa là bất kỳ cập nhật nào mở rộng bề mặt bị ảnh hưởng vượt ra ngoài các kho USDC hoặc gợi ý rằng sự biến dạng kế toán đã ảnh hưởng đến nhiều trạng thái kho.

Kịch bản thứ hai là cơ chế khai thác được hiểu, nhưng giao thức không thể ngay lập tức chứng minh rằng việc kế toán cổ phần là chính xác cho tất cả người dùng dẫn đến việc tạm dừng. Đó là nơi các sản phẩm vault trở nên rối rắm. Nếu việc gửi và rút tiền diễn ra trong khi kế toán có thể bị thao túng, câu hỏi "ai đã mất cái gì" trở nên khó hơn một con số trộm cắp đơn lẻ.

Ở đây, tôi sẽ tìm kiếm ngôn ngữ về việc đối chiếu trạng thái vault, các bức ảnh chụp nhanh, hoặc bất kỳ quy trình nào để định lượng tác động của người dùng. Thị trường sẽ không chờ đợi một cách kiên nhẫn nếu việc đối chiếu kế toán đó không có thời hạn rõ ràng.

Kịch bản thứ ba là quang cảnh phục hồi. Việc truy tìm sớm cho thấy các quỹ đã được chuyển đổi thành DAI trên Curve và chuyển đến ví của kẻ tấn công. Nếu có tín hiệu phục hồi đáng tin cậy, token có thể được định giá lại nhanh chóng vì rủi ro đuôi giảm.

Nếu các quỹ tiếp tục di chuyển một cách sạch sẽ mà không có con đường phục hồi rõ ràng, mức phí rủi ro có xu hướng duy trì ở mức cao vì tổn thất trở thành cuối cùng trong tâm trí của các nhà giao dịch.

Trong tất cả các kịch bản, động lực cốt lõi là như nhau: kế toán vault là xương sống của sản phẩm. Khi điều đó bị phá vỡ, token giao dịch như tín dụng không đảm bảo cho đến khi giao thức có thể chứng minh phạm vi, giải thích cách khắc phục và cho thấy liệu có giá trị nào có thể được phục hồi hay không.

Luận điểm được xác nhận nếu các bản cập nhật tiếp theo của Summer.fi thu hẹp bán kính vụ nổ đến các vault USDC tự động và cung cấp một bản sửa chữa kế toán cụ thể, có thể xác minh hỗ trợ việc mở lại vault một cách có kiểm soát.

Nguồn