Summer.fi : l'attaque contre Lazy Summer Protocol a visé le mécanisme de NAV, pas une faille de smart contract
Résumé du marché par IA
Le coffre USDC Lazy Summer Protocol de Summer.fi a perdu environ 6,04 M$ après qu'un attaquant a manipulé la VAN (NAV) et la tarification des parts via un Ark mis en pause mais non retiré, dont les actifs continuaient d'être pris en compte dans la VAN. Bien qu'il ne s'agisse pas d'un bug de smart contract, l'incident met en lumière des lacunes opérationnelles et de contrôle des risques dans la désactivation des coffres et les intrants de tarification. Tous les coffres on-chain ont été mis en pause et les limites de dépôt fixées à zéro, créant une incertitude à court terme concernant les rachats des utilisateurs et une éventuelle compensation.
Niveau d'impact
● Moyen
Actifs concernés
US/USDT+5.83%
Infos de l'IA · US/USDTInfos de l'IA
▼ Baissier
Trader maintenant
⚠️ Les infos générées par l'IA sont basées sur des contenus d'actualité et fournies à titre informatif uniquement. Elles ne constituent pas des conseils en investissement et ne reflètent pas les positions de BingX. Investir comporte des risques. Tradez de manière responsable.
Selon ChainCatcher, Summer.fi a publié son analyse de l'attaque ayant ciblé le coffre USDC de Lazy Summer Protocol. L'attaquant a manipulé, au sein d'une seule transaction atomique, le prix des parts de deux coffres USDC, puis a retiré environ 6,04 millions de dollars de fonds appartenant aux déposants.
L'incident provient de la méthode de calcul de la valeur liquidative (NAV) du coffre. L'attaquant a "donné" des jetons valorisés sur la base de prix obsolètes à un Silo Ark mis en pause depuis l'incident de novembre 2025, mais pas encore totalement retiré. Cette opération a gonflé artificiellement le total des actifs du coffre d'environ 9,5 %, ce qui a mécaniquement augmenté le prix des parts. L'attaquant a ensuite racheté ses parts au prix surévalué et a récupéré des fonds à partir de la liquidité réelle du coffre.
Le rapport précise qu'il ne s'agit pas d'une vulnérabilité de smart contract, mais d'une lacune dans le processus de désactivation du coffre : la limite de dépôt de l'Ark avait été fixée à zéro, alors que ses actifs restaient intégrés au calcul de la NAV. Summer.fi indique également que l'attaque avait été préparée trois mois à l'avance, via l'accumulation des jetons nécessaires sur plusieurs portefeuilles, et qu'une partie des gains a été blanchie via Tornado Cash.
À la suite de l'incident, le Guardian Multisig a mis en pause l'ensemble des coffres onchain et a fixé leurs limites de dépôt à zéro. La Lazy Summer DAO doit discuter dans les prochains jours des modalités d'indemnisation des utilisateurs affectés et des propositions de remise en service des coffres.