Site icon BitExpert.io

Хакеры обчистили Summer Finance на $6 млн

DeFi-протокол Summer Finance стал очередной жертвой киберпреступников, лишившись криптоактивов на сумму около $6 млн. Как установили форензик-аналитики из компании Blockaid, злоумышленники прибегли к классической, но оттого не менее эффективной схеме — атаке с использованием флэш-займа (flash loan). Независимый крипто-исследователь под псевдонимом Crypto Jargon детализировал механику взлома: хакер манипулировал ликвидностью в пулах Curve (пара DAI/USDC) и Morpho, чтобы извлечь выгоду из ценового дисбаланса.
Эксперт подчеркнул коварство подобных векторов атак, которые практически невозможно превентивно заблокировать. Суть метода кроется в его безальтернативности для взломщика: ему не требуется иметь собственный капитал. Кредитные алгоритмы выдают миллионы долларов на считанные секунды, позволяя атакующему искусственно исказить соотношение ликвидности, зафиксировать прибыль и мгновенно погасить долг в рамках одного транзакционного блока. Если хотя бы один элемент схемы дает сбой, транзакция просто откатывается. Единственный финансовый риск для хакера в таком сценарии — это комиссия за газ в сети, что делает подобные эксплойты крайне привлекательными.
Углубившись в техническую сторону инцидента, основатель Phylax Systems Одиссеас Ламцидис исключил компрометацию приватных ключей или злой умысел со стороны администраторов протокола. По его версии, корень проблемы кроется в логической ошибке алгоритмов Summer Finance, которые некорректно интерпретировали данные о балансах и ликвидности хранилищ. Любопытная деталь: для реализации эксплойта киберпреступники задействовали смарт-контракт, который не проходил процедуру верификации, несмотря на то, что сами уязвимые компоненты экосистемы имели подтвержденный статус безопасности.