Summer.fi Mengungkap Persiapan Berbulan-bulan di Balik Eksploitasi DeFi Senilai $6 Juta

ambcryptoDipublikasikan tanggal 2026-07-07Terakhir diperbarui pada 2026-07-07

Abstrak

Summer.fi menerbitkan analisis mendetail tentang eksploitasi senilai $6,04 juta yang menguras dua vault USDC Lazy Summer Protocol-nya. Kesimpulannya, serangan ini direncanakan berbulan-bulan sebelumnya, bukan merupakan eksploitasi flash loan yang oportunis. Pelaku memanipulasi nilai aset bersih (NAV) dua vault USDC dengan menyumbangkan token vault Silo yang nilainya sudah kadaluwarsa ke dalam sebuah Ark yang sebenarnya sedang dalam proses penonaktifan. Ark ini masih tercakup dalam perhitungan NAV, sehingga secara artifisial menggelembungkan harga share vault. Hal ini memungkinkan penyerang menebus share dengan nilai yang digelembungkan dan menarik sekitar $6,04 juta USDC. Kerugian terbagi antara Vault USDC Risiko Rendah (~$5,64 juta) dan Vault USDC Risiko Tinggi (~$400.000). Summer.fi menekankan bahwa akar masalahnya adalah masalah operasional dalam proses offboarding strategi lama, bukan bug kode atau kompromi kunci pribadi. Bukti blockchain menunjukkan persiapan serangan dimulai sekitar tiga bulan sebelumnya, dengan pelaku mengumpulkan token yang diperlukan secara bertahap. Setelah insiden, semua vault Lazy Summer Protocol dijeda. Keputusan mengenai kompensasi pengguna dan pemulihan operasi sekarang diserahkan kepada governance protokol.

Summer.fi telah menerbitkan laporan post-mortem rinci mengenai eksploitasi senilai $6,04 juta yang menguras dua vault USDC Protokol Lazy Summer miliknya. Kesimpulannya, serangan ini direncanakan berbulan-bulan sebelumnya dan bukan merupakan eksploitasi flash loan yang oportunistik.

Laporan tersebut mengatakan penyerang menghabiskan waktu sekitar tiga bulan untuk mengumpulkan aset yang dibutuhkan untuk memanipulasi protokol. Eksploitasi dieksekusi dalam satu transaksi atomik pada tanggal 6 Juli.

Laporan itu juga berargumen bahwa penyebab utamanya adalah masalah operasional selama proses offboarding strategi lama, bukan cacat pada kontrak pintar protokol.

Serangan Memanfaatkan Proses Offboarding yang Tidak Lengkap

Menurut post-mortem, penyerang memanipulasi nilai aset bersih [NAV] dari dua vault USDC. Token vault Silo bernilai basi disumbangkan ke sebuah Ark yang telah dibatasi selama proses offboarding. Namun, Ark tersebut tetap disertakan dalam perhitungan NAV vault.

Hal itu menggelembungkan harga saham vault secara artifisial, memungkinkan penyerang untuk menebus saham pada nilai yang digelembungkan. Penyerang kemudian menarik sekitar $6,04 juta dalam USDC dari posisi likuid protokol.

Kerugian terbagi antara Vault USDC Risiko Lebih Rendah, yang kehilangan sekitar $5,64 juta, dan Vault USDC Risiko Lebih Tinggi, yang kehilangan sekitar $400.000.

Summer.fi menekankan bahwa eksploitasi ini tidak disebabkan oleh kunci pribadi yang dikompromikan, hak istimewa administratif, atau bug pengkodean. Sebaliknya, mereka menyatakan bahwa kontrak yang terdampak berperilaku sesuai desain.

Namun, sebuah Ark yang terganggu tetap aktif dalam akuntansi vault setelah batas setoran (deposit cap) nya disetel ke nol.

Persiapan Dimulai Berbulan-bulan Sebelum Eksploitasi

Laporan tersebut juga menantang narasi awal bahwa eksploitasi ini hanyalah serangan flash loan sederhana.

Summer.fi mengatakan bukti blockchain menunjukkan penyerang mendanai beberapa dompet sekitar tiga bulan sebelum kejadian. Penyerang kemudian secara bertahap mengumpulkan token vault Silo bernilai basi, yang kemudian digunakan untuk menggelembungkan NAV vault.

Flash loan terutama menyediakan likuiditas sementara untuk transaksi akhir daripada menciptakan kerentanan itu sendiri.

Protokol tersebut juga menanggapi tangkapan layar yang banyak dibagikan yang menunjukkan hasil persentase tahunan sekitar 2,08 juta%. Dijelaskan bahwa angka tersebut dihasilkan dari lonjakan NAV vault yang dilaporkan dalam satu blok dan tidak mewakili pengembalian investasi yang sebenarnya.

Protokol Dijeda Sambil Governance Pertimbangkan Langkah Selanjutnya

Menyusul eksploitasi, semua vault Protokol Lazy Summer dihentikan sementara, dan batas setoran dikurangi menjadi nol sementara insiden diselidiki.

Laporan tersebut mengatakan governance sekarang harus memutuskan bagaimana menangani vault yang terdampak, apakah akan memberikan kompensasi kepada pengguna, dan kapan vault yang tidak terdampak dapat melanjutkan operasi dengan aman.


Ringkasan Akhir

  • Summer.fi mengatakan eksploitasi senilai $6,04 juta direncanakan selama beberapa bulan dan berasal dari proses offboarding vault yang tidak lengkap.
  • Protokol telah menghentikan sementara semua vault sambil governance mempertimbangkan kompensasi, perbaikan, dan pembukaan kembali pasar yang tidak terdampak dengan aman.

Pertanyaan Terkait

QApa penyebab utama eksploitasi $6,04 juta pada protocol Summer.fi?

APenyebab utamanya adalah masalah operasional dalam proses offboarding strategi lama, di mana Ark yang sudah dibatasi (cap deposit diatur ke nol) tetap masuk dalam perhitungan Net Asset Value (NAV) vault, bukan karena bug kode atau kunci pribadi yang bocor.

QBagaimana penyerang memanipulasi nilai vault USDC untuk melakukan eksploitasi?

APenyerang menyumbangkan token vault Silo yang bernilai basi ke dalam Ark yang telah dibatasi selama proses offboarding. Ini menggelembungkan NAV vault secara artifisial, memungkinkan penyerang menebus saham vault dengan nilai yang lebih tinggi dan menarik sekitar $6,04 juta USDC.

QBerapa lama persiapan yang dilakukan penyerang sebelum menjalankan eksploitasi?

ABukti blockchain menunjukkan persiapan berlangsung sekitar tiga bulan sebelum insiden. Penyerang mendanai beberapa wallet dan secara bertahap mengumpulkan token vault Silo bernilai basi yang kemudian digunakan untuk mengeksploitasi protocol.

QApa peran flash loan dalam serangan ini menurut laporan Summer.fi?

AFlash loan terutama menyediakan likuiditas sementara untuk transaksi akhir, bukan menciptakan kerentanan itu sendiri. Kerentanannya berasal dari proses offboarding yang tidak lengkap yang telah dipersiapkan penyerang selama berbulan-bulan.

QApa langkah yang diambil Summer.fi setelah eksploitasi terjadi?

ASemua vault Lazy Summer Protocol dijeda (paused) dan batas deposit diturunkan ke nol selama investigasi. Keputusan selanjutnya, seperti kompensasi pengguna dan pembukaan kembali vault yang tidak terdampak, diserahkan kepada proses governance komunitas.

Bacaan Terkait

Trading

Spot
活动图片