
Хакерская атака на децентрализованный протокол Summer.fi
Децентрализованный финансовый протокол Summer.fi пострадал от хакерской атаки, в результате которой было украдено около $6 млн. Эксперты обнаружили уязвимости в смарт-контрактах и связанные с этим адреса злоумышленников.
Взлом децентрализованного протокола Summer.fi
DeFi-протокол Summer.fi, ранее известный как Oasis.app, стал жертвой хакерской атаки. По предварительным данным, ущерб от инцидента превысил $6 млн. Системы мониторинга безопасности, такие как Blockaid, Certik, PeckShield и BlockSec, сообщили о событии в публичных постах на платформе X (ранее Twitter). Эти организации выявили уязвимости в ключевых смарт-контрактах и предоставили технические детали атаки.
Список затронутых смарт-контрактов
В ходе анализа эксперты определили следующие адреса и контракты, связанные с инцидентом:
| Тип | Адрес |
|---|---|
| Злоумышленник | 0x7BF716167B48CF527725722C6d79494b45B3BDCa |
| Смарт-контракт эксплойта | 0x0514F827C129C16418a0933E03C99A6AF982FC61 |
| Пострадавшие контракты | 0x98C49e13bf99D7CAd8069faa2A370933EC9EcF17 |
| 0xA9ca4909700505585B1aD2a1579dA3b670FFA9c4 | |
| 0xE9cDA459bED6dcfb8AC61CD8cE08E2D52370cB06 |
Анализ уязвимости и этапы атаки
Аналитическая компания BlockSec Phalcon выявила, что первопричиной инцидента стала ошибка в оценке позиций в интеграции протокола Ark. Компоненты MorphoV2VaultArk и SiloManagedVaultArk использовали спотовые курсы нижестоящих хранилищ для расчета активов, что позволило злоумышленнику искусственно завысить показатель totalAssets внутри транзакции. Это искажение было передано в систему FleetCommander, где произошло манипулирование объемами.
Атака развернулась в три этапа:
- Перераспределение средств в храни