
A Blockaid afirmou que seu sistema de detecção de exploits identificou um ataque ativo na Summer.fi, uma plataforma de agregação de rendimento DeFi e gestão automatizada de vaults. A empresa de segurança disse que o ataque havia drenado cerca de US$ 6 milhões no momento de seu alerta.
A Blockaid publicou, "Aproximadamente US$ 6 milhões drenados até agora", marcando a Summer.fi em seu aviso. O alerta não forneceu uma causa técnica completa, e a Summer.fi não havia divulgado uma análise post-mortem pública completa no momento do relatório.
A Summer.fi oferece ferramentas de vault DeFi que ajudam os usuários a gerenciar estratégias de rendimento através de sistemas automatizados. Seus materiais públicos descrevem o Lazy Summer Protocol como uma forma de acessar o rendimento DeFi através de automação e curadoria de risco.
A plataforma também oferece infraestrutura de vault institucional. A Summer.fi afirma que seus vaults autogerenciados permitem que as entidades mantenham o controle das chaves privadas enquanto acessam os mercados de rendimento de ativos DeFi e do mundo real.
O exploit relatado da Summer.fi recoloca os sistemas de vault automatizados sob a atenção do mercado. Plataformas de rendimento frequentemente roteiam fundos de usuários através de vários protocolos de empréstimo, staking e liquidez para melhorar os retornos.
Essa estrutura pode reduzir o trabalho manual para os usuários, mas também cria mais componentes. Contratos inteligentes, permissões de vault, "keepers", configurações de risco e integrações externas, tudo precisa de verificações rigorosas.
A Crypto.news cobriu recentemente um alerta de exploit de contrato inteligente da Blockaid ligado à FOX Colony da ShapeShift na Arbitrum. Esse caso mostrou como as empresas de segurança podem detectar desvios ativos antes que um relatório técnico completo esteja disponível.
A Blockaid também sinalizou um exploit de $3 milhões no SquidRouterModule em 86 Gnosis Safes em maio. Nesse caso, os tokens roubados foram trocados por DAI através de pools Uniswap V3 controlados pelo atacante.
A perda relatada de US$ 6 milhões da Summer.fi segue vários eventos de segurança DeFi nos últimos meses. A Crypto.news noticiou que a Stake DAO enfrentou um exploit ativo depois que um atacante cunhou mais de 5,4 trilhões de vsdCRV e começou a trocar fundos por ETH.
Outro caso recente envolveu o Token of Power. A Crypto.news relatou que um exploit do Token of Power drenou US$ 1,58 milhão de um pool Balancer V1, enquanto a Blockaid descreveu o incidente como um ataque de tomada de controle de governança.
Grandes perdas de protocolos também pesaram sobre o DeFi este ano. A Crypto.news relatou que os exploits DeFi de abril eliminaram cerca de US$ 13 bilhões em TVL, citando dados da Binance Research. Esse relatório afirmou que a atividade de exploit reduziu o capital bloqueado em protocolos on-chain. Também disse que a alavancagem on-chain aumentou à medida que o valor total bloqueado caiu mais rápido do que os empréstimos.
A principal questão em aberto é como o exploit da Summer.fi começou. O alerta da Blockaid confirmou a atividade de desvio ativo, mas a causa raiz ainda requer um relatório técnico da Summer.fi ou de pesquisadores de segurança.
Os usuários também acompanharão se quaisquer fundos podem ser congelados, rastreados ou recuperados. A recuperação depende para onde os ativos roubados se movem, quais redes estão envolvidas e se os serviços centralizados recebem algum dos fundos.
O ataque ocorre em um momento delicado para as plataformas de vault DeFi. O modelo da Summer.fi depende da confiança na automação, no design de contratos e nos controles de risco. Um relatório público precisará explicar o que falhou e quais passos protegerão os usuários.