Summer.fi发布了一份关于耗资604万美元的攻击事件的详细事后分析报告,该攻击耗尽了其两个"慵懒夏日协议"USDC金库的资金。报告结论是,这次攻击是提前数月策划的,而非一次机会主义的闪电贷漏洞利用。
报告称,攻击者花费了大约三个月时间来积累操纵协议所需的资产。漏洞利用于7月6日在一个单一的原子交易中执行。
报告还指出,根本原因是在淘汰一个旧策略过程中的操作问题,而非协议智能合约本身的缺陷。
攻击利用了未完成的淘汰流程
根据事后分析,攻击者操纵了两个USDC金库的资产净值[NAV]。在淘汰过程中,价值过时的Silo金库代币被捐赠给了一个已被封顶的"方舟"。然而,该"方舟"仍被计入金库的NAV计算中。
这人为地抬高了金库的份额价格,使得攻击者能够以虚高的价值赎回份额。随后,攻击者从协议的流动性头寸中提取了大约604万美元的USDC。
损失分布在"低风险USDC金库"(损失约564万美元)和"高风险USDC金库"(损失约40万美元)之间。
Summer.fi强调,该漏洞利用并非由私钥泄露、管理权限滥用或代码错误引起。相反,它表示受影响的合约是按设计运行的。
尽管如此,在一个"方舟"的存款上限被设置为零之后,这个功能受损的"方舟"仍然在金库的会计核算中保持活跃。
准备工作在漏洞利用前数月即已开始
该报告也对早期认为这只是一次简单的闪电贷攻击的说法提出了挑战。
Summer.fi表示,链上证据表明攻击者在事发前大约三个月为多个钱包提供了资金。随后,攻击者逐渐积累了价值过时的Silo金库代币,这些代币后来被用来虚增金库的NAV。
闪电贷主要是为最终的交易提供临时流动性,而非创造了漏洞本身。
协议还就一张广泛流传的截图进行了解释,该截图显示年化收益率大约为208万%。报告阐明,该数字是由于金库报告的NAV在一个区块内出现峰值所致,并不代表实际的投资回报。
协议已暂停,治理层权衡后续步骤
漏洞利用发生后,所有"慵懒夏日协议"金库均已暂停,存款上限也降至零,同时对此事件进行调查。
报告称,治理层现在必须决定如何处理受影响的金库,是否补偿用户,以及未受影响的市场的安全恢复运营时间。
最终总结
- Summer.fi表示,这起604万美元的攻击事件是经过数月策划的,源于金库淘汰流程未彻底完成。
- 协议已暂停所有金库,同时治理层正在考虑赔偿、补救措施以及安全重启未受影响的市场。





