El ataque a Lazy Summer Protocol de Summer.fi explotó el mecanismo de NAV, no un fallo en el contrato inteligente

Resumen del mercado generado por IA
La bóveda USDC de Lazy Summer Protocol de Summer.fi perdió aproximadamente 6,04 M$ después de que un atacante manipulara el NAV y la fijación del precio de las participaciones mediante un Ark en pausa pero no eliminado, cuyos activos seguían incorporándose al NAV. Aunque no se trató de un fallo de contrato inteligente, el incidente pone de relieve brechas operativas y de control de riesgos en la desactivación de bóvedas y en las entradas de precios. Todas las bóvedas onchain fueron puestas en pausa y los límites de depósito se establecieron en cero, lo que genera incertidumbre a corto plazo en torno a los reembolsos de los usuarios y a una posible compensación.
Nivel de impacto
● Media
Activos afectados
US/USDT+5.83%
Ideas de IA · US/USDTIdeas de IA
▼ Bajista
Haz trading ahora
⚠️ Las ideas generadas por IA se basan en contenido de noticias y se proporcionan solo con fines informativos. No constituyen asesoramiento de inversión ni representan los puntos de vista de BingX. Invertir implica riesgos. Opera de forma responsable.
ChainCatcher informa: Summer.fi publicó un análisis del ataque contra la bóveda de USDC de Lazy Summer Protocol. El atacante manipuló el precio de las participaciones de dos bóvedas de USDC dentro de una única transacción atómica y retiró aproximadamente 6,04 millones de dólares de fondos de depositantes. Según el informe, el vector clave fue la forma en que se calculaba el valor liquidativo (NAV) de la bóveda. El atacante donó tokens con valoraciones desactualizadas a un Silo Ark que permanecía pausado desde el incidente de noviembre de 2025, pero que aún no se había eliminado por completo. Con ello, los activos totales del vault quedaron inflados de manera artificial en torno a un 9,5%, lo que elevó el precio de las participaciones. A continuación, canjeó participaciones al precio inflado y extrajo fondos de la liquidez real de la bóveda. Summer.fi subraya que no se trató de una vulnerabilidad del contrato inteligente, sino de una brecha en el proceso de desactivación: aunque el límite de depósitos del Ark se había fijado en cero, sus activos seguían contabilizándose en el cálculo del NAV. El atacante habría planificado la operación con tres meses de antelación, acumulando los tokens necesarios en varias carteras, y blanqueó parcialmente las ganancias mediante Tornado Cash. Tras el incidente, el Guardian Multisig pausó todas las bóvedas onchain y estableció sus límites de depósito en cero. En los próximos días, la Lazy Summer DAO debatirá planes de compensación para los usuarios afectados y propuestas para restaurar las bóvedas.