
بلاکاید اعلام کرد که سیستم تشخیص اکسپلویت آن، یک حمله فعال را بر روی Summer.fi، یک پلتفرم تجمیع بازده دیفای و مدیریت خودکار خزانهها، شناسایی کرده است. این شرکت امنیتی گفت که این حمله در زمان هشدار حدود ۶ میلیون دلار را تخلیه کرده بود.
بلاکاید در اخطار خود با تگ کردن Summer.fi، نوشت: «تاکنون حدود ۶ میلیون دلار تخلیه شده است.» این هشدار دلیل فنی کاملی را ارائه نکرد و Summer.fi نیز در زمان این گزارش، یک گزارش پس از حادثه (پستمورتم) عمومی و کامل منتشر نکرده بود.
Summer.fi ابزارهای خزانه دیفای را ارائه میدهد که به کاربران کمک میکند استراتژیهای بازدهی را از طریق سیستمهای خودکار مدیریت کنند. مواد عمومی آن، پروتکل Lazy Summer را راهی برای دسترسی به بازده دیفای از طریق اتوماسیون و مدیریت ریسک توصیف میکند.
این پلتفرم همچنین زیرساخت خزانه سازمانی را ارائه میدهد. Summer.fi میگوید خزانههای خودمدیریتی آن به نهادها اجازه میدهد تا کنترل کلیدهای خصوصی خود را حفظ کرده و در عین حال به بازارهای بازده دیفای و داراییهای دنیای واقعی دسترسی داشته باشند.
اکسپلویت گزارش شده Summer.fi، سیستمهای خزانه خودکار را دوباره در کانون توجه بازار قرار میدهد. پلتفرمهای بازدهی اغلب وجوه کاربران را از طریق چندین پروتکل وامدهی، استیکینگ و نقدینگی هدایت میکنند تا بازدهی را بهبود بخشند.
این ساختار میتواند کار دستی کاربران را کاهش دهد، اما همچنین اجزای متحرک بیشتری ایجاد میکند. قراردادهای هوشمند، مجوزهای خزانه، نگهدارندهها (keepers)، تنظیمات ریسک و ادغامهای خارجی همگی نیاز به بررسیهای دقیق دارند.
Crypto.news اخیراً گزارشی از هشدار اکسپلویت قرارداد هوشمند Blockaid مربوط به FOX Colony ShapeShift در آربیتروم منتشر کرد. آن مورد نشان داد که چگونه شرکتهای امنیتی میتوانند تخلیههای فعال را قبل از در دسترس قرار گرفتن یک گزارش فنی کامل شناسایی کنند.
بلاکاید همچنین در ماه مه یک اکسپلویت SquidRouterModule به ارزش ۳ میلیون دلار را در ۸۶ Gnosis Safes مشخص کرد. در آن مورد، توکنهای سرقت شده از طریق استخرهای Uniswap V3 تحت کنترل مهاجم به DAI مبادله شدند.
ضرر ۶ میلیون دلاری گزارش شده Summer.fi، پس از چندین رویداد امنیتی دیفای در ماههای اخیر رخ میدهد. Crypto.news گزارش داد که Stake DAO پس از اینکه یک مهاجم بیش از ۵.۴ تریلیون vsdCRV را مینت کرد و شروع به مبادله وجوه برای ETH نمود، با یک اکسپلویت فعال مواجه شد.
مورد اخیر دیگری مربوط به Token of Power بود. Crypto.news گزارش داد که اکسپلویت Token of Power مبلغ ۱.۵۸ میلیون دلار را از یک استخر Balancer V1 تخلیه کرد، در حالی که بلاکاید این حادثه را یک حمله تصاحب حاکمیت توصیف کرد.
ضررهای بزرگ پروتکلها نیز امسال بر دیفای سنگینی کرده است. Crypto.news گزارش داد که اکسپلویتهای دیفای در آوریل حدود ۱۳ میلیارد دلار از TVL (ارزش کل قفل شده) را از بین برد، با استناد به دادههای Binance Research. این گزارش اظهار داشت که فعالیتهای اکسپلویت، سرمایه قفل شده در پروتکلهای آنچین را کاهش داده است. همچنین گفت که اهرم مالی آنچین افزایش یافته است زیرا ارزش کل قفل شده سریعتر از وامگیری کاهش یافته است.
سوال اصلی و باز این است که اکسپلویت Summer.fi چگونه آغاز شد. هشدار بلاکاید فعالیت تخلیه فعال را تأیید کرد، اما علت اصلی همچنان نیاز به یک گزارش فنی از Summer.fi یا محققان امنیتی دارد.
کاربران همچنین پیگیر خواهند بود که آیا وجوهی قابل مسدودسازی، ردیابی یا بازیابی هستند یا خیر. بازیابی بستگی به این دارد که داراییهای سرقت شده به کجا منتقل میشوند، کدام شبکهها درگیر هستند و آیا خدمات متمرکز هر یک از وجوه را دریافت میکنند یا خیر.
این حمله در زمان حساسی برای پلتفرمهای خزانه دیفای رخ میدهد. مدل Summer.fi به اعتماد به اتوماسیون، طراحی قرارداد و کنترلهای ریسک وابسته است. یک گزارش عمومی باید توضیح دهد که چه چیزی شکست خورده و چه اقداماتی از کاربران محافظت خواهد کرد.