Summer.fi revela meses de preparación detrás de un exploit de DeFi de $6 millones

ambcryptoPublicado a 2026-07-07Actualizado a 2026-07-07

Resumen

Summer.fi ha publicado un análisis detallado del ataque que explotó 6.04 millones de dólares de dos de sus bóvedas USDC del Lazy Summer Protocol. El informe concluye que el ataque fue planificado durante meses, no un simple ataque oportunista con préstamos flash. El atacante acumuló gradualmente tokens de valor obsoleto de bóvedas Silo durante tres meses. La causa raíz fue un problema operativo en el proceso de retirada de una estrategia antigua. Un 'Ark', cuya capacidad de depósito se había establecido en cero durante este proceso, siguió incluyéndose en los cálculos del valor neto de los activos (NAV) de las bóvedas. El atacante donó los tokens de valor obsoleto a este Ark, inflando artificialmente el precio de las acciones de la bóveda y permitiéndole redimir acciones por un valor inflado y retirar los fondos. Las pérdidas fueron de aproximadamente 5.64 millones en la Bóveda USDC de Bajo Riesgo y 400,000 en la de Mayor Riesgo. Summer.fi enfatiza que no hubo un fallo en el código, claves comprometidas o un error de diseño de los contratos, sino un proceso de retirada incompleto. Tras el incidente, todas las bóvedas del protocolo se pausaron. La gobernanza del protocolo debe ahora decidir sobre posibles compensaciones a los usuarios y cuándo se pueden reanudar de forma segura las operaciones de los mercados no afectados.

Summer.fi ha publicado un análisis detallado post-mortem del exploit de $6.04 millones que drenó dos de sus bóvedas USDC del Protocolo Lazy Summer. Concluye que el ataque fue planificado con meses de antelación, en lugar de ser una explotación oportunista mediante flash loan.

El informe señala que el atacante pasó aproximadamente tres meses acumulando los activos necesarios para manipular el protocolo. La explotación se ejecutó en una única transacción atómica el 6 de julio.

También argumenta que la causa raíz fue un problema operativo durante la retirada de una estrategia antigua, en lugar de una falla en los contratos inteligentes del protocolo.

El ataque explotó un proceso de retirada incompleto

Según el análisis post-mortem, el atacante manipuló el valor neto de los activos [NAV, por sus siglas en inglés] de dos bóvedas USDC. Se donaron tokens de bóveda Silo con valores obsoletos a un Ark que había sido limitado durante un proceso de retirada. Sin embargo, el Ark seguía siendo incluido en los cálculos del NAV de la bóveda.

Esto infló artificialmente el precio de las acciones de la bóveda, permitiendo al atacante redimir acciones a un valor inflado. Luego, el atacante retiró aproximadamente $6.04 millones en USDC de las posiciones líquidas del protocolo.

Las pérdidas se dividieron entre la Bóveda USDC de Menor Riesgo, que perdió alrededor de $5.64 millones, y la Bóveda USDC de Mayor Riesgo, que perdió aproximadamente $400,000.

Summer.fi subrayó que la explotación no fue causada por claves privadas comprometidas, privilegios administrativos o un error de código. En cambio, afirmó que los contratos afectados se comportaron tal como fueron diseñados.

Aún así, un Ark dañado permaneció activo en la contabilidad de la bóveda después de que su límite de depósito se estableciera en cero.

La preparación comenzó meses antes del exploit

El informe también cuestiona la narrativa inicial de que el exploit fue simplemente un ataque mediante flash loan.

Summer.fi dijo que la evidencia en blockchain indica que el atacante financió múltiples carteras alrededor de tres meses antes del incidente. Luego, el atacante fue acumulando gradualmente tokens de bóveda Silo con valores obsoletos, que más tarde se usaron para inflar el NAV de las bóvedas.

Los flash loans proporcionaron principalmente liquidez temporal para la transacción final, en lugar de crear la vulnerabilidad en sí misma.

El protocolo también abordó una captura de pantalla ampliamente compartida que mostraba un rendimiento porcentual anual de aproximadamente 2.08 millones%. Explica que la cifra resultó de un pico de un bloque en el NAV reportado por la bóveda y no representó rendimientos reales de inversión.

Protocolo pausado mientras la gobernanza evalúa los próximos pasos

Tras el exploit, todas las bóvedas del Protocolo Lazy Summer fueron pausadas y los límites de depósito se redujeron a cero mientras se investigaba el incidente.

El informe dijo que ahora la gobernanza debe decidir cómo manejar las bóvedas afectadas, si compensar a los usuarios y cuándo las bóvedas no afectadas pueden reanudar operaciones de manera segura.


Resumen Final

  • Summer.fi dijo que el exploit de $6.04 millones fue planificado durante varios meses y se originó por un proceso incompleto de retirada de una bóveda.
  • El protocolo ha pausado todas las bóvedas mientras la gobernanza considera la compensación, la remediación y la reapertura segura de los mercados no afectados.

Preguntas relacionadas

Q¿Qué cantidad fue robada en el ataque a Summer.fi y de qué protocolos concretos?

AEn el ataque se robaron 6,04 millones de dólares de dos cajas fuertes (vaults) del Lazy Summer Protocol que contenían USDC: la Lower Risk USDC Vault perdió aproximadamente 5,64 millones y la Higher Risk USDC Vault perdió unos 400.000 dólares.

Q¿Cuál fue la causa raíz del exploit, según el análisis de Summer.fi?

ALa causa raíz fue un problema operativo durante el proceso de desactivación (offboarding) de una estrategia antigua, no un fallo en los contratos inteligentes. Un 'Ark' (Arca) al que se le había puesto un límite de depósito de cero seguía incluido en los cálculos del valor del activo neto (NAV) de las cajas fuertes.

Q¿Cómo ejecutó el atacante la manipulación para robar los fondos?

AEl atacante donó tokens de caja fuerte 'Silo' con valores obsoletos al 'Ark' desactivado. Esto infló artificialmente el precio de las acciones de las cajas fuertes, permitiéndole canjear sus acciones por un valor inflado y retirar aproximadamente 6,04 millones de USDC de las posiciones líquidas del protocolo.

Q¿Por qué Summer.fi afirma que el ataque fue planeado con meses de antelación y no un simple 'flash loan'?

ASummer.fi presentó evidencia de blockchain que muestra que el atacante financió varias carteras digitales unos tres meses antes del incidente y fue acumulando gradualmente los tokens 'Silo' de valor obsoleto necesarios para la manipulación. Los préstamos flash solo proporcionaron liquidez temporal para la transacción final.

Q¿Qué acciones tomó Summer.fi tras el ataque y qué decisiones pendientes hay?

ATras el ataque, Summer.fi pausó todas las cajas fuertes del Lazy Summer Protocol y redujo sus límites de depósito a cero. Ahora, la gobernanza del protocolo debe decidir cómo manejar las cajas fuertes afectadas, si compensar a los usuarios y cuándo reanudar de forma segura las operaciones de los mercados no afectados.

Lecturas Relacionadas

Top 7 VPN de Julio 2026

Más de 6.000 millones de personas, el 74% de la población mundial, usan Internet, pero solo una pequeña parte utiliza una Red Privada Virtual (VPN). Una VPN cifra la conexión, protege los datos y enmascara la dirección IP del usuario, siendo especialmente útil en redes Wi-Fi públicas. Para elegir la VPN adecuada, los usuarios deben considerar su velocidad, historial de privacidad y red de servidores. Aquí están las 7 mejores VPN de julio de 2026: 1. **ExpressVPN**: Más de 3.000 servidores en 106 países. Ofrece gran velocidad y fiabilidad con su protocolo Lightway, conexión para 8 dispositivos y una interfaz intuitiva. 2. **Windscribe**: Defiende un Internet libre, no rastrea ni vende datos de usuarios y sigue un modelo freemium. 3. **Norton VPN**: Sigue una política estricta de no registro, incluye interruptor de emergencia y tunelización dividida. Se integra en el ecosistema Norton 360 para la seguridad en línea. 4. **CyberGhost**: VPN asequible con más de 12.000 servidores en 100 países, garantía de reembolso de 45 días y cifrado sólido. Con sede en Rumanía, su política de no registro es auditada. 5. **Mullvad VPN**: Se centra en la privacidad, no requiere correo electrónico para registrarse y utiliza un modelo de precios fijo. Ofrece bloqueo de contenido opcional. 6. **NordVPN**: Muy popular, con servidores en 118 países. Ofrece protecciones estándar y, en planes superiores, Threat Protection Pro para bloquear amenazas. 7. **Proton VPN**: Su plan gratuito no tiene límite de datos. Con sede en Suiza, cumple leyes de privacidad estrictas, tiene un protocolo "Stealth" para evitar la censura y funciones avanzadas en suscripciones de pago. Las VPN son cruciales para proteger la actividad en línea. Los usuarios deben investigar antes de elegir una versión de pago. *Descargo de responsabilidad: Se anima a los lectores a realizar su propia investigación. Este contenido puede incluir enlaces de afiliados.*

ambcryptoHace 1 hora(s)

Top 7 VPN de Julio 2026

ambcryptoHace 1 hora(s)

El líder en tokenización de activos del mundo real (RWA), Ondo, se lanza a crear un Perp DEX

El líder en tokenización de activos del mundo real (RWA), Ondo Finance, está entrando en el campo de los intercambios descentralizados de contratos perpetuos (Perp DEX) con el lanzamiento de "Ondo Perps". Esto marca un punto de inflexión, ya que la plataforma se centrará en activos tokenizados como acciones, índices y materias primas, aprovechando su posición dominante en el mercado de RWA donde su plataforma Ondo Global Markets posee cerca del 70% de participación. A diferencia de los Perp DEX tradicionales que listan activos nativos de criptomonedas, Ondo Perps parte de la infraestructura financiera institucional. Actualmente ofrece contratos perpetuos sobre 16 acciones estadounidenses (como NVDA, AAPL), 3 materias primas (oro, plata, petróleo), 2 índices y 1 ETF, con un apalancamiento de hasta 20x. Una característica clave es su diseño para admitir múltiples activos como garantía (colateral), incluyendo en el futuro tokens de acciones y bonos del Tesoro de Ondo, permitiendo estrategias sofisticadas de cobertura y eficiencia de capital. La plataforma busca cerrar el ciclo financiero de los RWA, transformando los activos tokenizados de meros instrumentos de tenencia en bases de crédito productivas dentro de DeFi. Al combinar su capacidad de emisión de activos regulados, conexiones con mercados tradicionales y una plataforma de trading descentralizada, Ondo no solo lanza un nuevo DEX, sino que construye una infraestructura integral que fusiona las finanzas tradicionales con el ecosistema cripto, ofreciendo acceso global y operaciones 24/7 sobre activos del mundo real.

Foresight NewsHace 4 hora(s)

El líder en tokenización de activos del mundo real (RWA), Ondo, se lanza a crear un Perp DEX

Foresight NewsHace 4 hora(s)

Trading

Spot
活动图片