EGW-NewsSummer.fi joutui juuri 65 miljoonan dollarin flash-lainan uhriksi
Summer.fi joutui juuri 65 miljoonan dollarin flash-lainan uhriksi
229
Add as a Preferred Source
0
0

Summer.fi joutui juuri 65 miljoonan dollarin flash-lainan uhriksi

Kuusi miljoonaa dollaria. Juuri tämä summa puuttuu Summer.fi:n Lazy Summer -varastoista maanantaiaamun hyökkäyksen jälkeen, ja sen taustalla oleva mekanismi on melkein elegantti siinä, kuinka yksinkertaiselta se kuulostaa, kun sen purkaa osiin.

Älä missaa esport-uutisia ja päivityksiä! Rekisteröidy ja vastaanota viikoittainen artikkelidigesti!
Rekisteröidy

Blockaid havaitsi tilanteen ensimmäisenä, ilmoitti varojen katoamisesta reaaliajassa ja julkaisi hyökkääjän osoitteen sekä hyökkäyksen kohteeksi joutuneet sopimukset jo ennen kuin Summer.fi oli ehtinyt vahvistaa asiaa julkisesti. Tästä on tulossa vuoden 2026 vakiintunut malli: tietoturvayritykset saavat tietää asiasta ennen protokollan ylläpitäjiä.

Tässä on tapahtumien kulku CertiK:n ja Cyversin analyysien perusteella. Hyökkääjä otti 65,4 miljoonan dollarin flash-lainan USDC:nä ja USDT:nä – rahaa, joka lainattiin ja maksettiin takaisin samassa transaktiossa, joten todellista pääomaa ei ollut vaarassa. Hän talletti 64,8 miljoonaa dollaria Lazy Summerin holveihin, avasi etukäteen position Silo: Varlamore USDC Growth -holvissa ja ”lahjoitti” sitten varoja Ark-sopimukselle transaktion keskellä. Tämä lahjoitus vääristi sitä, miten FleetCommander – sopimus, joka seuraa kunkin varaston totalAssets()-arvoa – laski, mitä varastossa tosiasiassa oli. Lukujen vääristyessä hyökkääjä lunasti 70,9 miljoonaa dollaria. Talletus miinus lunastus, miinus flash-lainan takaisinmaksu: noin 6 miljoonaa dollaria puhdasta voittoa, joka vaihdettiin DAI:ksi Curvessa ja siirrettiin uuteen lompakkoon.

Ei hallinnoint avaimia, ei monen allekirjoituksen vaarannusta, ei mitään erikoista. Vain sopimus, joka luotti lukuun, johon sen ei olisi pitänyt luottaa.

Summer.fi (aiemmin Oasis.app) vahvisti haavoittuvuuden ja keskeytti kaikki Lazy Summer Protocolin vaultit tutkimusten ajaksi. Eräässä keskusteluketjussa selostettiin mekanismi yksityiskohtaisesti, mukaan lukien se, että tietyssä vaiheessa kyseisen vaultin näytetty APY nousi jyrkästi noin 2,08 miljoonaan prosenttiin, minkä pitäisi rehellisesti sanottuna olla tällä hetkellä suora varoitusmerkki jokaisessa DeFi-käyttöliittymässä. Jos tuotto näyttää koskaan seitsemän numeron lukua, jokin on mennyt pieleen.

SUMR:n arvo laski uutisen seurauksena noin 18%. Protokollan TVL oli ennen hyökkäystä noin 22 miljoonaa dollaria, joten kyseessä ei ollut mikään pieni kolhu.

Eikä kyseessä ole yksittäinen tapaus – tämä on jo heinäkuun toinen hyökkäys, ja pelkästään kesäkuussa menetettiin 75,9 miljoonaa dollaria 40 erillisessä hakkeroinnissa. CryptoRank arvioi vuoden 2026 DeFi-tappioiden kokonaismääräksi tähän mennessä yli 900 miljoonaa dollaria. Jokainen näistä noudattaa samaa kaavaa: lainaa rahaa, jota sinulla ei ole, riko koodin tekemää oletusta ja häivy ennen kuin kukaan huomaa. Tarkastuksissa jää jatkuvasti huomaamatta tämän tyyppisiä virheitä, koska kyseessä ei oikeastaan ole virhe, vaan suunnittelupäätös (totalAssets()-funktion luottaminen ilman ristiintarkistusta), joka muuttuu hyödynnettäväksi vasta, kun joku keksii yhdistää sen riittävän suureen flash-lainaan.

Ironista on, että Summer.fi markkinoi itseään osittain turvallisempana, ”instituutioiden vaatimukset täyttävänä” vaihtoehtona. Juuri tätä myyntivalttia testataan ankarimmin, kun jotain tällaista tapahtuu.

Mikä tekee yllä olevasta tekstistä niin selvästi tekoälyn tuottaman?

  • Rytmi on liian siisti, kappaleiden pituudet tasaiset, siirtymät huolitellut, eikä tekstissä ole todellista sekavuutta tai sivujuonteita.
  • ”Siitä on tulossa vakiomalli” ja ”taiteilija, joka aiemmin tunnettiin nimellä Oasis.app” kuulostavat pikemminkin lisättyltä persoonallisuudelta kuin luonnolliselta ääneltä.
  • Lopetus ("juuri tuo myyntipuhe...") on siisti yhteenveto teesistä, mikä on klassinen tekoälyn paljastava piirre.
  • Mekaniikoita selitetään hieman liikaa, vaikka kryptovaluuttoihin perehtynyt yleisö ymmärtää ne jo (flash-lainat, TVL:n merkitys).

Mikä minua ihmetyttää, on se, että Summer.fi markkinoi itseään ikään kuin aikuisille suunnattuna vaihtoehtona DeFi-tuottojen maailmassa. Taisi olla, että tuo myyntipuhe kohtasi juuri ensimmäisen todellisen testinsä.

Jätä kommentti
Piditkö artikkelista?
0
0

Kommentit

FREE SUBSCRIPTION ON EXCLUSIVE CONTENT
Receive a selection of the most important and up-to-date news in the industry.
*
*Only important news, no spam.
SUBSCRIBE
LATER