Summer.fi telah menerbitkan laporan post-mortem rinci mengenai eksploitasi senilai $6,04 juta yang menguras dua vault USDC Protokol Lazy Summer miliknya. Kesimpulannya, serangan ini direncanakan berbulan-bulan sebelumnya dan bukan merupakan eksploitasi flash loan yang oportunistik.
Laporan tersebut mengatakan penyerang menghabiskan waktu sekitar tiga bulan untuk mengumpulkan aset yang dibutuhkan untuk memanipulasi protokol. Eksploitasi dieksekusi dalam satu transaksi atomik pada tanggal 6 Juli.
Laporan itu juga berargumen bahwa penyebab utamanya adalah masalah operasional selama proses offboarding strategi lama, bukan cacat pada kontrak pintar protokol.
Serangan Memanfaatkan Proses Offboarding yang Tidak Lengkap
Menurut post-mortem, penyerang memanipulasi nilai aset bersih [NAV] dari dua vault USDC. Token vault Silo bernilai basi disumbangkan ke sebuah Ark yang telah dibatasi selama proses offboarding. Namun, Ark tersebut tetap disertakan dalam perhitungan NAV vault.
Hal itu menggelembungkan harga saham vault secara artifisial, memungkinkan penyerang untuk menebus saham pada nilai yang digelembungkan. Penyerang kemudian menarik sekitar $6,04 juta dalam USDC dari posisi likuid protokol.
Kerugian terbagi antara Vault USDC Risiko Lebih Rendah, yang kehilangan sekitar $5,64 juta, dan Vault USDC Risiko Lebih Tinggi, yang kehilangan sekitar $400.000.
Summer.fi menekankan bahwa eksploitasi ini tidak disebabkan oleh kunci pribadi yang dikompromikan, hak istimewa administratif, atau bug pengkodean. Sebaliknya, mereka menyatakan bahwa kontrak yang terdampak berperilaku sesuai desain.
Namun, sebuah Ark yang terganggu tetap aktif dalam akuntansi vault setelah batas setoran (deposit cap) nya disetel ke nol.
Persiapan Dimulai Berbulan-bulan Sebelum Eksploitasi
Laporan tersebut juga menantang narasi awal bahwa eksploitasi ini hanyalah serangan flash loan sederhana.
Summer.fi mengatakan bukti blockchain menunjukkan penyerang mendanai beberapa dompet sekitar tiga bulan sebelum kejadian. Penyerang kemudian secara bertahap mengumpulkan token vault Silo bernilai basi, yang kemudian digunakan untuk menggelembungkan NAV vault.
Flash loan terutama menyediakan likuiditas sementara untuk transaksi akhir daripada menciptakan kerentanan itu sendiri.
Protokol tersebut juga menanggapi tangkapan layar yang banyak dibagikan yang menunjukkan hasil persentase tahunan sekitar 2,08 juta%. Dijelaskan bahwa angka tersebut dihasilkan dari lonjakan NAV vault yang dilaporkan dalam satu blok dan tidak mewakili pengembalian investasi yang sebenarnya.
Protokol Dijeda Sambil Governance Pertimbangkan Langkah Selanjutnya
Menyusul eksploitasi, semua vault Protokol Lazy Summer dihentikan sementara, dan batas setoran dikurangi menjadi nol sementara insiden diselidiki.
Laporan tersebut mengatakan governance sekarang harus memutuskan bagaimana menangani vault yang terdampak, apakah akan memberikan kompensasi kepada pengguna, dan kapan vault yang tidak terdampak dapat melanjutkan operasi dengan aman.
Ringkasan Akhir
- Summer.fi mengatakan eksploitasi senilai $6,04 juta direncanakan selama beberapa bulan dan berasal dari proses offboarding vault yang tidak lengkap.
- Protokol telah menghentikan sementara semua vault sambil governance mempertimbangkan kompensasi, perbaikan, dan pembukaan kembali pasar yang tidak terdampak dengan aman.





