Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124

Summer.fi publicou uma autópsia detalhada sobre o US$ 6,04 milhões exploração que drenou dois de seus Cofres USDC do Protocolo Lazy Summer. Conclui que o ataque foi planejado com meses de antecedência, em vez de ser uma exploração oportunista de empréstimos instantâneos.
O relatório diz que o invasor passou cerca de três meses acumulando os ativos necessários para manipular o protocolo. A exploração foi executada em uma única transação atômica em 6 de julho.
Argumenta também que a causa raiz foi um problema operacional durante o encerramento de uma estratégia antiga, e não uma falha nos contratos inteligentes do protocolo.
De acordo com a autópsia, o agressor manipulou o valor patrimonial líquido [NAV] de dois cofres USDC. Tokens de cofre do Silo com valor obsoleto foram doados para uma Arca que foi limitada durante um processo de desativação. No entanto, a Arca permaneceu incluída nos cálculos de NAV do cofre.
Isso inflou artificialmente o preço das ações do cofre, permitindo ao invasor resgatar ações por um valor inflacionado. O atacante então retirou-se aproximadamente US$ 6,04 milhões em USDC das posições líquidas do protocolo.
As perdas foram divididas entre os Cofre USDC de menor risco, que perdeu cerca de US$ 5,64 milhõese o Cofre USDC de maior risco, que perdeu cerca de US$ 400.000.
Summer.fi enfatizou que a exploração não foi causada por chaves privadas comprometidas, privilégios administrativos ou erros de codificação. Em vez disso, disse que os contratos afetados se comportaram conforme planejado.
Ainda assim, uma Arca danificada permaneceu ativa na contabilidade do cofre depois que seu limite de depósito foi definido como zero.
O relatório também desafia a narrativa inicial de que a exploração era simplesmente um ataque relâmpago de empréstimo.
Summer.fi disse que evidências de blockchain indicam o invasor financiou várias carteiras cerca de três meses antes do incidente. O invasor então gradualmente acumulou tokens de cofre Silo com valor obsoleto, que mais tarde foram usados para aumentar o NAV dos cofres.
Os empréstimos rápidos forneceram principalmente liquidez temporária para a transação final, em vez de criarem a vulnerabilidade em si.
O protocolo também abordou uma captura de tela amplamente compartilhada mostrando um rendimento percentual anual de aproximadamente 2,08 milhões%. Ele explica que o valor resultou de um aumento de um bloco no NAV relatado do cofre e não representou retornos reais de investimento.
Após a exploração, todos os cofres do Lazy Summer Protocol foram pausados e os limites de depósito foram reduzidos a zero enquanto o incidente era investigado.
O relatório disse que a governança deve agora decidir como lidar com os cofres afetados, se compensará os usuários e quando os cofres não afetados poderão retomar as operações com segurança.