Summer.fi опубликовала подробный отчёт о произошедшем инциденте, посвящённый эксплойту на $6.04 миллиона, который опустошил два её USDC-хранилища протокола Lazy Summer Protocol. Компания делает вывод, что атака была спланирована за несколько месяцев до её осуществления, а не являлась сиюминутной атакой с использованием флеш-займов.
В отчёте говорится, что злоумышленник потратил примерно три месяца на накопление активов, необходимых для манипулирования протоколом. Эксплойт был исполнен в одной атомарной транзакции 6 июля.
Также утверждается, что коренной причиной стала операционная проблема в процессе вывода из эксплуатации старой стратегии, а не уязвимость в смарт-контрактах протокола.
Атака использовала незавершённый процесс вывода из эксплуатации
Согласно отчёту, злоумышленник манипулировал чистой стоимостью активов [NAV] двух USDC-хранилищ. Токены хранилищ Silo с устаревшей стоимостью были направлены в «Ковчег» (Ark), который был ограничен (capped) в процессе вывода стратегии из эксплуатации. Однако этот «Ковчег» по-прежнему учитывался в расчётах NAV хранилища.
Это искусственно завысило цену акции (share price) хранилища, позволив злоумышленнику выкупить акции по завышенной стоимости. Затем злоумышленник вывел примерно $6.04 миллиона в USDC из ликвидных позиций протокола.
Потери распределились между Хранилищем USDC с низким риском, которое потеряло около $5.64 миллиона, и Хранилищем USDC с высоким риском, которое потеряло примерно $400,000.
Summer.fi подчеркнула, что эксплойт не был вызван скомпрометированными приватными ключами, административными привилегиями или ошибкой в коде. Вместо этого заявили, что затронутые контракты работали так, как были спроектированы.
Тем не менее, недееспособный «Ковчег» оставался активным в учёте хранилища после того, как его лимит депозитов (deposit cap) был установлен на ноль.
Подготовка началась за месяцы до эксплойта
В отчёте также оспаривается первоначальная версия о том, что эксплойт был просто атакой с использованием флеш-займов.
Summer.fi заявила, что данные блокчейна указывают на то, что злоумышленник финансировал несколько кошельков примерно за три месяца до инцидента. Затем злоумышленник постепенно накапливал токены хранилищ Silo с устаревшей стоимостью, которые позже были использованы для завышения NAV хранилищ.
Флеш-займы в основном предоставили временную ликвидность для финальной транзакции, а не создали саму уязвимость.
Протокол также прокомментировал широко распространённый скриншот, показывающий годовую процентную доходность (APY) примерно в 2.08 миллиона%. Объясняется, что эта цифра стала результатом кратковременного всплеска заявленного NAV хранилища в одном блоке и не отражала реальную доходность инвестиций.
Протокол приостановлен, пока управление оценивает дальнейшие шаги
После эксплойта все хранилища протокола Lazy Summer Protocol были приостановлены, а лимиты депозитов снижены до нуля на время расследования инцидента.
В отчёте говорится, что сейчас управлению (governance) предстоит решить, как поступить с затронутыми хранилищами, стоит ли компенсировать убытки пользователям и когда незатронутые хранилища могут безопасно возобновить работу.
Итоговое резюме
- Summer.fi заявила, что эксплойт на $6.04 миллиона планировался в течение нескольких месяцев и был вызван незавершённым процессом вывода хранилища из эксплуатации.
- Протокол приостановил все хранилища, пока управление рассматривает вопросы компенсации, устранения последствий и безопасного возобновления работы незатронутых рынков.





