Summer.fi đã công bố một báo cáo phân tích chi tiết về vụ khai thác trị giá 6,04 triệu USD đã rút cạn hai kho chứa USDC Lazy Summer Protocol của họ. Báo cáo kết luận rằng cuộc tấn công được lên kế hoạch từ nhiều tháng trước chứ không phải là một cuộc khai thác cơ hội bằng flash loan.
Báo cáo cho biết kẻ tấn công đã dành khoảng ba tháng để tích lũy tài sản cần thiết nhằm thao túng giao thức. Vụ khai thác được thực hiện trong một giao dịch nguyên tử duy nhất vào ngày 6 tháng 7.
Báo cáo cũng lập luận rằng nguyên nhân gốc rễ là một vấn đề vận hành trong quá trình ngừng hoạt động của một chiến lược cũ chứ không phải là lỗ hổng trong hợp đồng thông minh của giao thức.
Cuộc tấn công khai thác quy trình ngừng hoạt động chưa hoàn tất
Theo báo cáo phân tích, kẻ tấn công đã thao túng giá trị tài sản ròng [NAV] của hai kho chứa USDC. Các token kho chứa Silo có giá trị cũ đã được chuyển vào một Ark vốn đã bị giới hạn trong quá trình ngừng hoạt động. Tuy nhiên, Ark này vẫn được tính vào các phép tính NAV của kho chứa.
Điều này đã làm tăng giá cổ phiếu của kho chứa một cách giả tạo, cho phép kẻ tấn công mua lại cổ phiếu với giá trị đã bị thổi phồng. Sau đó, kẻ tấn công đã rút khoảng 6,04 triệu USD bằng USDC từ các vị thế thanh khoản của giao thức.
Tổn thất được chia ra giữa Kho chứa USDC Rủi ro Thấp hơn, mất khoảng 5,64 triệu USD, và Kho chứa USDC Rủi ro Cao hơn, mất khoảng 400.000 USD.
Summer.fi nhấn mạnh rằng vụ khai thác không phải do khóa riêng tư bị xâm phạm, đặc quyền quản trị hoặc lỗi mã hóa. Thay vào đó, họ cho biết các hợp đồng bị ảnh hưởng đã hoạt động đúng như thiết kế.
Tuy nhiên, một Ark bị tổn hại vẫn hoạt động trong hệ thống kế toán của kho chứa sau khi hạn mức gửi tiền của nó được đặt về 0.
Quá trình chuẩn bị bắt đầu nhiều tháng trước vụ khai thác
Báo cáo cũng phản bác lại quan điểm ban đầu cho rằng vụ khai thác đơn giản chỉ là một cuộc tấn công bằng flash loan.
Summer.fi cho biết bằng chứng trên blockchain chỉ ra rằng kẻ tấn công đã cấp vốn cho nhiều ví khoảng ba tháng trước sự cố. Sau đó, kẻ tấn công dần dần tích lũy các token kho chứa Silo có giá trị cũ, sau này được sử dụng để làm phình giá trị NAV của các kho chứa.
Các khoản vay flash chủ yếu cung cấp thanh khoản tạm thời cho giao dịch cuối cùng chứ không tạo ra lỗ hổng bảo mật.
Giao thức cũng đề cập đến một ảnh chụp màn hình được chia sẻ rộng rãi cho thấy tỷ suất lợi nhuận hàng năm khoảng 2,08 triệu%. Họ giải thích rằng con số này là kết quả của việc giá trị NAV được báo cáo của kho chứa tăng đột biến trong một khối và không đại diện cho lợi nhuận đầu tư thực tế.
Giao thức tạm dừng khi quản trị xem xét các bước tiếp theo
Sau vụ khai thác, tất cả các kho chứa của Lazy Summer Protocol đã bị tạm dừng và hạn mức gửi tiền được giảm về 0 trong khi sự cố được điều tra.
Báo cáo cho biết cơ chế quản trị hiện phải quyết định cách xử lý các kho chứa bị ảnh hưởng, có bồi thường cho người dùng hay không và khi nào các kho chứa không bị ảnh hưởng có thể an toàn hoạt động trở lại.
Tóm tắt cuối cùng
- Summer.fi cho biết vụ khai thác 6,04 triệu USD được lên kế hoạch trong nhiều tháng và bắt nguồn từ quy trình ngừng hoạt động kho chứa chưa hoàn tất.
- Giao thức đã tạm dừng tất cả các kho chứa trong khi cơ chế quản trị xem xét việc bồi thường, khắc phục và mở cửa trở lại an toàn các thị trường không bị ảnh hưởng.





