DeFi 协议遭遇重大安全漏洞

7月6日,名为 Summer Finance(Summer.dot.fi)的去中心化金融收益优化协议遭遇严重安全事件,据初步估算损失达600万美元。此次攻击源于其核心系统中一个关键函数的会计逻辑缺陷,攻击者通过操控金库估值机制,在未实际持有等值资产的情况下提取了超额资金。

自动化系统被恶意利用

该协议运行着名为“懒人夏季协议”的自动化策略,由AI守护者在多个借贷平台间动态分配用户存款以追求更高回报。然而,其底层组件Fleet Commander在计算金库总价值时依赖的totalAssets()函数存在可被操纵的漏洞。攻击者利用这一漏洞,通过引入虚假资产数据,使系统误判金库规模,从而实现超额赎回。

闪电贷结合数据扭曲实施攻击

区块链安全公司 CertiK 表示,攻击者借入6540万美元闪电贷,向协议存入6480万美元。随后,通过修改名为 Ark 的连接组件中的资产映射关系,成功扭曲了 Fleet Commander 所依赖的会计数据,最终赎回7090万美元,实现净获利600万美元。该过程在单笔交易内完成,且贷款在结算前即归还。

攻击路径揭示份额会计漏洞

Cyvers 将此次攻击归类为典型的份额会计漏洞攻击,即通过价格操纵影响资产估值,进而获取超出实际持有的份额。攻击者事先在 Silo: Varlamore USDC Growth 金库中建立仓位,并在交易中向 Ark 注入资产,以干扰金库的真实价值评估。事后,被盗资金被转换为 DAI 稳定币并转移至控制地址。

官方尚未回应事件真实性

截至报道时,Summer(dot)fi 官方仍未通过社交媒体或公告渠道发布任何关于此次攻击的确认信息,根本原因亦未得到权威验证。社区普遍关注其后续应对措施及是否启动审计程序。

行业整体攻击趋势下降

尽管本次事件造成显著损失,但据 CertiK 数据,5月份加密货币相关攻击总损失已同比下降90%,降至6830万美元。这表明行业安全防护能力有所提升,但高风险协议仍面临严峻挑战。