O protocolo de finanças descentralizadas Summer.fi suspendeu todos os vaults do Lazy Summer após um ataque que resultou no roubo de aproximadamente $6 milhões da plataforma de yield. O token SUMR da plataforma viu seu valor despencar mais de 18% após o incidente.
A exploração foi realizada através de um flash loan, que manipulou a lógica contábil dos vaults de USDC, permitindo que o atacante inflasse artificialmente os ativos e os resgatasse para obter lucro. O Lazy Summer é uma plataforma automatizada que busca retornos mais altos ao redirecionar depósitos em mercados de empréstimos como Aave e Morpho, enquanto realiza o reequilíbrio em nome dos usuários.
O ataque foi inicialmente destacado pela firma de segurança blockchain Blockaid, com PeckShield e CertiK também relatando atividades suspeitas. O Summer.fi confirmou que estava investigando o ataque e que os guardiões do protocolo interromperam os vaults afetados para evitar mais perdas.
As análises iniciais sugerem que o atacante utilizou um extenso ataque de flash loan, supostamente obtido através do Morpho, para manipular a lógica contábil dos vaults automatizados de USDC do Lazy Summer. O pesquisador de segurança DeFi Bhari apontou que a exploração aproveitou uma falha no código para inflar os ativos totais, que puderam ser resgatados para um lucro líquido. Os fundos roubados foram aparentemente convertidos em DAI na Curve antes de serem transferidos para a carteira do atacante.
Antes do ataque, o protocolo tinha $22 milhões em valor total bloqueado, segundo dados da DeFiLlama. A queda do token SUMR após a revelação do ataque foi um duro golpe para a confiança na plataforma.
