Протокол децентрализованных финансов (DeFi) Summer.fi стал жертвой хакерской атаки, в результате которой было похищено около 6 млн долларов. Об инциденте сообщили специалисты компаний PeckShieldAlert, Blockaid и CertiK.
По предварительным данным, злоумышленник не получил доступ к приватным ключам или административным функциям платформы. Вместо этого он воспользовался уязвимостью в логике работы учетных механизмов протокола.
Как пояснил основатель компании Phylax Systems Одиссеас Ламтзидис, атака была проведена с использованием флеш-займа — краткосрочного кредита, который оформляется и полностью погашается в рамках одной блокчейн-транзакции. Для реализации схемы хакер привлек около 65,4 млн долларов в стейблкоинах USDC и USDT.
Получив средства, злоумышленник провел серию операций с механизмами протоколов Lazy Summer и VaultV2, манипулируя расчетом ликвидности и балансов. Это позволило ему выпустить и погасить токены LVUSDC на выгодных условиях, а затем обменять полученные активы через децентрализованную биржу Curve.
После возврата флеш-займа атакующий вывел более 6 млн долларов в стейблкоине DAI на подконтрольный адрес.
По оценке CertiK, чистая прибыль злоумышленника составила около 6 млн долларов. Специалисты отмечают, что контракт, использованный для проведения атаки, пока не верифицирован, поэтому полная схема эксплойта еще изучается.

