Summer.fi a publié un rapport détaillé d'analyse post-mortem sur l'attaque de 6,04 millions de dollars qui a drainé deux de ses coffres-forts USDC du protocole Lazy Summer. Il conclut que l'attaque a été planifiée plusieurs mois à l'avance plutôt que d'être une exploitation opportuniste par flash loan.
Le rapport indique que l'attaquant a passé environ trois mois à accumuler les actifs nécessaires pour manipuler le protocole. L'exploit a été exécuté en une seule transaction atomique le 6 juillet.
Il affirme également que la cause profonde était un problème opérationnel lors de la désactivation d'une ancienne stratégie, et non une faille dans les contrats intelligents du protocole.
L'attaque a exploité un processus de désactivation incomplet
Selon l'analyse post-mortem, l'attaquant a manipulé la valeur nette d'actif [NAV] de deux coffres-forts USDC. Des jetons de coffre-fort Silo à valeur obsolète ont été versés dans une Arche dont le plafond de dépôt avait été fixé à zéro lors d'un processus de désactivation. Cependant, cette Arche restait incluse dans les calculs de la NAV du coffre-fort.
Cela a artificiellement gonflé le prix des parts du coffre-fort, permettant à l'attaquant de racheter ses parts à une valeur surévaluée. L'attaquant a ensuite retiré environ 6,04 millions de dollars en USDC des positions liquides du protocole.
Les pertes se répartissent entre le coffre-fort USDC à risque modéré, qui a perdu environ 5,64 millions de dollars, et le coffre-fort USDC à risque élevé, qui a perdu environ 400 000 dollars.
Summer.fi a souligné que l'exploit n'a pas été causé par des clés privées compromises, des privilèges administratifs ou un bug de code. Au contraire, l'entreprise a déclaré que les contrats affectés se sont comportés comme prévu.
Néanmoins, une Arche défectueuse est restée active dans la comptabilité du coffre-fort après que son plafond de dépôt a été fixé à zéro.
La préparation a commencé des mois avant l'exploit
Le rapport remet également en question le récit initial selon lequel l'exploit était simplement une attaque par flash loan.
Summer.fi a déclaré que les preuves sur la blockchain indiquent que l'attaquant a financé plusieurs portefeuilles environ trois mois avant l'incident. L'attaquant a ensuite progressivement accumulé des jetons de coffre-fort Silo à valeur obsolète, qui ont ensuite été utilisés pour gonfler la NAV des coffres-forts.
Les flash loans ont principalement fourni une liquidité temporaire pour la transaction finale plutôt que de créer la vulnérabilité elle-même.
Le protocole a également commenté une capture d'écran largement partagée montrant un taux de pourcentage annuel d'environ 2,08 millions %. Il explique que ce chiffre résultait d'un pic sur un seul bloc de la NAV déclarée du coffre-fort et ne représentait pas les rendements réels des investissements.
Le protocole est en pause alors que la gouvernance pèse les prochaines étapes
Suite à l'exploit, tous les coffres-forts du protocole Lazy Summer ont été mis en pause, et les plafonds de dépôt ont été réduits à zéro pendant l'enquête sur l'incident.
Le rapport a indiqué que la gouvernance doit maintenant décider comment gérer les coffres-forts affectés, s'il faut indemniser les utilisateurs, et quand les coffres-forts non affectés pourront reprendre leurs activités en toute sécurité.
Résumé final
- Summer.fi a déclaré que l'attaque de 6,04 millions de dollars a été planifiée sur plusieurs mois et découle d'un processus de désactivation de coffre-fort incomplet.
- Le protocole a mis en pause tous les coffres-forts tandis que la gouvernance examine l'indemnisation, la remédiation et la réouverture sécurisée des marchés non affectés.





