Ataque ao Lazy Summer Protocol da Summer.fi explorou cálculo de NAV, não falha em smart contract
Resumo de mercado por IA
O cofre de USDC do Lazy Summer Protocol da Summer.fi perdeu cerca de US$ 6,04 milhões após um atacante manipular o NAV e a precificação das cotas por meio de um Ark pausado, mas não removido, cujos ativos ainda eram contabilizados no NAV. Embora não tenha sido um bug de contrato inteligente, o incidente destaca lacunas operacionais e de controle de risco na desativação do cofre e nas entradas de precificação. Todos os cofres onchain foram pausados e os limites de depósito foram definidos como zero, criando incerteza no curto prazo em torno dos resgates dos usuários e de uma possível compensação.
Nível de impacto
● Médio
Ativos afetados
US/USDT-0.05%
Insight de IA · US/USDTInsight de IA
▼ Baixista
Negociar agora
⚠️ Os insights gerados por IA são baseados em conteúdo de notícias e fornecidos apenas para fins informativos. Eles não constituem aconselhamento de investimento nem representam as opiniões da BingX. Investir envolve riscos. Negocie com responsabilidade.
Segundo a ChainCatcher, a Summer.fi divulgou uma análise sobre o ataque ao cofre (vault) de USDC do Lazy Summer Protocol. O invasor manipulou o preço das cotas de dois vaults de USDC em uma única transação atômica e sacou cerca de US$ 6,04 milhões pertencentes a depositantes.
A Summer.fi afirma que o ponto central foi a forma de cálculo do valor patrimonial líquido (NAV) do vault. O atacante doou tokens com avaliações desatualizadas para um Silo Ark que estava pausado desde o incidente de novembro de 2025, mas ainda não havia sido totalmente removido. Com isso, os ativos totais do vault foram inflados artificialmente em aproximadamente 9,5%, elevando o preço das cotas. Em seguida, o invasor resgatou as cotas pelo valor inflado e retirou recursos da liquidez efetiva do vault.
O relatório ressalta que não se tratou de uma vulnerabilidade no smart contract, e sim de uma lacuna no processo de desativação do vault: o limite de depósito do Ark havia sido ajustado para zero, mas seus ativos continuavam sendo contabilizados no NAV.
A investigação indica que o ataque foi planejado com três meses de antecedência, com a aquisição dos tokens necessários distribuída em várias carteiras, e que parte dos recursos foi parcialmente lavada via Tornado Cash. Após o incidente, a Guardian Multisig pausou todos os vaults onchain e definiu seus limites de depósito como zero. A Lazy Summer DAO deve discutir nos próximos dias um plano de compensação para usuários afetados e propostas de restauração dos vaults.