Summer.fi ha publicado un análisis detallado post-mortem del exploit de $6.04 millones que drenó dos de sus bóvedas USDC del Protocolo Lazy Summer. Concluye que el ataque fue planificado con meses de antelación, en lugar de ser una explotación oportunista mediante flash loan.
El informe señala que el atacante pasó aproximadamente tres meses acumulando los activos necesarios para manipular el protocolo. La explotación se ejecutó en una única transacción atómica el 6 de julio.
También argumenta que la causa raíz fue un problema operativo durante la retirada de una estrategia antigua, en lugar de una falla en los contratos inteligentes del protocolo.
El ataque explotó un proceso de retirada incompleto
Según el análisis post-mortem, el atacante manipuló el valor neto de los activos [NAV, por sus siglas en inglés] de dos bóvedas USDC. Se donaron tokens de bóveda Silo con valores obsoletos a un Ark que había sido limitado durante un proceso de retirada. Sin embargo, el Ark seguía siendo incluido en los cálculos del NAV de la bóveda.
Esto infló artificialmente el precio de las acciones de la bóveda, permitiendo al atacante redimir acciones a un valor inflado. Luego, el atacante retiró aproximadamente $6.04 millones en USDC de las posiciones líquidas del protocolo.
Las pérdidas se dividieron entre la Bóveda USDC de Menor Riesgo, que perdió alrededor de $5.64 millones, y la Bóveda USDC de Mayor Riesgo, que perdió aproximadamente $400,000.
Summer.fi subrayó que la explotación no fue causada por claves privadas comprometidas, privilegios administrativos o un error de código. En cambio, afirmó que los contratos afectados se comportaron tal como fueron diseñados.
Aún así, un Ark dañado permaneció activo en la contabilidad de la bóveda después de que su límite de depósito se estableciera en cero.
La preparación comenzó meses antes del exploit
El informe también cuestiona la narrativa inicial de que el exploit fue simplemente un ataque mediante flash loan.
Summer.fi dijo que la evidencia en blockchain indica que el atacante financió múltiples carteras alrededor de tres meses antes del incidente. Luego, el atacante fue acumulando gradualmente tokens de bóveda Silo con valores obsoletos, que más tarde se usaron para inflar el NAV de las bóvedas.
Los flash loans proporcionaron principalmente liquidez temporal para la transacción final, en lugar de crear la vulnerabilidad en sí misma.
El protocolo también abordó una captura de pantalla ampliamente compartida que mostraba un rendimiento porcentual anual de aproximadamente 2.08 millones%. Explica que la cifra resultó de un pico de un bloque en el NAV reportado por la bóveda y no representó rendimientos reales de inversión.
Protocolo pausado mientras la gobernanza evalúa los próximos pasos
Tras el exploit, todas las bóvedas del Protocolo Lazy Summer fueron pausadas y los límites de depósito se redujeron a cero mientras se investigaba el incidente.
El informe dijo que ahora la gobernanza debe decidir cómo manejar las bóvedas afectadas, si compensar a los usuarios y cuándo las bóvedas no afectadas pueden reanudar operaciones de manera segura.
Resumen Final
- Summer.fi dijo que el exploit de $6.04 millones fue planificado durante varios meses y se originó por un proceso incompleto de retirada de una bóveda.
- El protocolo ha pausado todas las bóvedas mientras la gobernanza considera la compensación, la remediación y la reapertura segura de los mercados no afectados.





