Atak na Lazy Summer Protocol wykorzystał mechanizm NAV, a nie lukę w smart kontrakcie

Podsumowanie rynku AI
Skarbiec USDC protokołu Lazy Summer Protocol od Summer.fi stracił około 6,04 mln USD po tym, jak atakujący zmanipulował NAV oraz wycenę udziałów za pośrednictwem wstrzymanego, ale nieusuniętego Ark, którego aktywa nadal zasilały NAV. Choć nie była to usterka inteligentnego kontraktu, incydent uwypukla luki operacyjne oraz w zakresie kontroli ryzyka w dezaktywacji skarbca i danych wejściowych do wyceny. Wszystkie skarbce onchain zostały wstrzymane, a limity depozytów ustawione na zero, co tworzy krótkoterminową niepewność wokół wykupów użytkowników oraz potencjalnej rekompensaty.
Wpływ
● Średni
Aktywa, których dotyczy
US/USDT+3.51%
Analiza AI · US/USDTAnaliza AI
▼ Spadkowy
Handluj teraz
⚠️ Analizy generowane przez AI opierają się na treściach z wiadomości i mają charakter informacyjny. Nie stanowią porady inwestycyjnej ani nie odzwierciedlają poglądów BingX. Inwestowanie wiąże się z ryzykiem. Handluj odpowiedzialnie.
ChainCatcher informuje, że Summer.fi opublikowało analizę ataku na skarbiec (vault) USDC w Lazy Summer Protocol. Napastnik w ramach jednej, atomowej transakcji zmanipulował ceny udziałów w dwóch skarbcach USDC i wyprowadził ok. 6,04 mln USD środków deponentów. Według raportu kluczowe było obejście sposobu wyliczania wartości aktywów netto (NAV). Atakujący przekazał do Silo Ark tokeny z nieaktualnymi wycenami. Ten Ark pozostawał wstrzymany od incydentu z listopada 2025 r., ale nie został jeszcze całkowicie usunięty z systemu. W efekcie łączne aktywa skarbca zostały sztucznie zawyżone o ok. 9,5%, co podbiło cenę udziałów. Następnie napastnik wykupił udziały po zawyżonej wycenie i wypłacił środki z faktycznej płynności skarbca. Summer.fi podkreśla, że nie doszło do wykorzystania podatności smart kontraktu. Problem wynikał z luki w procesie dezaktywacji skarbca: limit depozytów dla Ark ustawiono na zero, ale jego aktywa wciąż były uwzględniane w kalkulacji NAV. Z ustaleń wynika też, że atak przygotowywano z trzymiesięcznym wyprzedzeniem, gromadząc wymagane tokeny w wielu portfelach, a część środków została następnie poddana praniu przez Tornado Cash. Po incydencie Guardian Multisig wstrzymał wszystkie skarbce onchain i ustawił ich limity depozytów na zero. Lazy Summer DAO ma w najbliższych dniach omówić plan rekompensat dla poszkodowanych użytkowników oraz propozycje przywrócenia działania skarbców.