Атака на Lazy Summer Protocol від Summer.fi: зловмисник використав механізм розрахунку NAV, а не вразливість смартконтракту
Ринкове зведення ШІ
USDC-сховище Lazy Summer Protocol від Summer.fi втратило близько $6.04M після того, як зловмисник маніпулював NAV і ціноутворенням часток через Ark, який був призупинений, але не вилучений, і чиї активи все ще враховувалися в NAV. Хоча це не була помилка смартконтракту, інцидент підкреслює прогалини в операційних процесах і контролі ризиків щодо деактивації сховищ і вхідних даних для ціноутворення. Усі ончейн-сховища були призупинені, а ліміти депозитів встановлені на нуль, що створює короткострокову невизначеність щодо викупів користувачів і потенційної компенсації.
Рівень впливу
● Середній
Активи, яких стосується
US/USDT-0.18%
Інсайт ШІ · US/USDTІнсайт ШІ
▼ Ведмежий
Торгувати
⚠️ Інсайти, згенеровані ШІ, ґрунтуються на новинних матеріалах і надаються виключно з інформаційною метою. Вони не є інвестиційною порадою та не відображають поглядів BingX. Інвестування пов’язане з ризиком. Будь ласка, торгуйте відповідально.
За даними ChainCatcher, команда Summer.fi оприлюднила розбір інциденту з USDC-сховищем Lazy Summer Protocol. Під час однієї атомарної транзакції зловмисник маніпулював цінами паїв у двох USDC-ваултах і вивів близько 6,04 млн дол. коштів депозитарів.
Ключовим вектором стала формула визначення чистої вартості активів (NAV). Атакувальник "пожертвував" токени із застарілими оцінками до Silo Ark, який перебував на паузі з інциденту в листопаді 2025 року, але не був повністю вилучений. Через це загальні активи ваулта штучно зросли приблизно на 9,5%, що підняло розрахункову ціну паїв. Після завищення ціни зловмисник погасив паї за підвищеним курсом і забрав кошти з фактичної ліквідності ваулта.
У звіті наголошується, що причина не в уразливості смартконтракту, а в прогалині процесу деактивації ваултів: ліміт депозитів для Ark був виставлений на нуль, проте його активи продовжували враховуватися в NAV. Також зазначається, що атаку готували заздалегідь: протягом трьох місяців зловмисник накопичував потрібні токени через кілька гаманців і частково відмив кошти через Tornado Cash.
Після інциденту Guardian Multisig призупинив усі ончейн-ваулти та встановив для них ліміти депозитів на нуль. Lazy Summer DAO найближчими днями обговорить плани компенсацій постраждалим користувачам і пропозиції щодо відновлення роботи ваултів.