Cuộc Tấn Công Trên Summer.fi
Blockaid cho biết hệ thống phát hiện lỗ hổng của họ đã xác định một cuộc tấn công đang diễn ra trên Summer.fi, một nền tảng tổng hợp lợi suất DeFi và quản lý kho tự động. Công ty bảo mật này cho biết cuộc tấn công đã rút khoảng 6 triệu đô la vào thời điểm cảnh báo của họ. Blockaid đã đăng tải thông tin rằng “~6 triệu đô la đã bị rút cho đến nay,” đồng thời gắn thẻ Summer.fi trong cảnh báo của mình. Tuy nhiên, cảnh báo này không cung cấp nguyên nhân kỹ thuật đầy đủ, và Summer.fi cũng chưa công bố một báo cáo công khai hoàn chỉnh tại thời điểm đó.
Thông Tin Về Summer.fi
Hệ thống phát hiện lỗ hổng của Blockaid đã xác định một lỗ hổng đang diễn ra liên quan đến số tiền đã bị rút cho đến nay. Summer.fi cung cấp các công cụ kho DeFi giúp người dùng quản lý chiến lược lợi suất thông qua các hệ thống tự động. Tài liệu công khai của nền tảng này mô tả Giao thức Lazy Summer như một cách để truy cập lợi suất DeFi thông qua tự động hóa và quản lý rủi ro. Nền tảng cũng cung cấp cơ sở hạ tầng kho cho các tổ chức, cho phép các thực thể giữ quyền kiểm soát các khóa riêng trong khi vẫn truy cập vào DeFi và thị trường lợi suất tài sản thực.
Những Rủi Ro Trong DeFi
Lỗ hổng được báo cáo của Summer.fi đã đưa các hệ thống kho tự động trở lại dưới sự chú ý của thị trường. Các nền tảng lợi suất thường chuyển hướng quỹ của người dùng qua nhiều giao thức cho vay, staking và thanh khoản để cải thiện lợi nhuận. Cấu trúc này có thể giảm bớt công việc thủ công cho người dùng, nhưng cũng tạo ra nhiều phần chuyển động hơn. Các hợp đồng thông minh, quyền truy cập kho, người giữ, cài đặt rủi ro và tích hợp bên ngoài đều cần được kiểm tra chặt chẽ.
Crypto.news gần đây đã đề cập đến một cảnh báo lỗ hổng hợp đồng thông minh của Blockaid liên quan đến FOX Colony của ShapeShift trên Arbitrum. Trường hợp đó cho thấy cách các công ty bảo mật có thể phát hiện các hoạt động rút tiền đang diễn ra trước khi một báo cáo kỹ thuật đầy đủ được công bố.
Blockaid cũng đã phát hiện một lỗ hổng 3 triệu đô la của SquidRouterModule trên 86 Gnosis Safes vào tháng 5. Trong trường hợp đó, các token bị đánh cắp đã được hoán đổi thành DAI thông qua các pool Uniswap V3 do kẻ tấn công kiểm soát.
Tình Hình Bảo Mật DeFi
Mất mát 6 triệu đô la được báo cáo của Summer.fi diễn ra sau một số sự kiện bảo mật DeFi trong những tháng gần đây. Crypto.news đã báo cáo rằng Stake DAO đã phải đối mặt với một lỗ hổng đang diễn ra khi một kẻ tấn công đã đúc hơn 5,4 triệu vsdCRV và bắt đầu hoán đổi quỹ lấy ETH. Một trường hợp gần đây khác liên quan đến Token of Power, trong đó một lỗ hổng đã rút 1,58 triệu đô la từ một pool Balancer V1, và Blockaid mô tả sự cố này như một cuộc tấn công chiếm quyền quản trị.
Các tổn thất lớn của các giao thức cũng đã ảnh hưởng đến DeFi trong năm nay. Crypto.news đã báo cáo rằng các lỗ hổng DeFi vào tháng 4 đã xóa khoảng 13 tỷ đô la trong tổng giá trị bị khóa (TVL), theo dữ liệu từ Binance Research. Báo cáo đó cho biết hoạt động lỗ hổng đã làm giảm vốn bị khóa trên các giao thức on-chain. Nó cũng chỉ ra rằng đòn bẩy on-chain đã tăng lên khi tổng giá trị bị khóa giảm nhanh hơn so với việc vay mượn.
Câu Hỏi Còn Bỏ Ngỏ
Câu hỏi chính còn bỏ ngỏ là lỗ hổng của Summer.fi bắt đầu như thế nào. Cảnh báo của Blockaid xác nhận hoạt động rút tiền đang diễn ra, nhưng nguyên nhân gốc vẫn cần một báo cáo kỹ thuật từ Summer.fi hoặc các nhà nghiên cứu bảo mật. Người dùng cũng sẽ theo dõi xem liệu có quỹ nào có thể bị đóng băng, theo dõi hoặc phục hồi hay không. Việc phục hồi phụ thuộc vào nơi mà các tài sản bị đánh cắp di chuyển, các mạng lưới liên quan và liệu các dịch vụ tập trung có nhận được bất kỳ quỹ nào hay không.
Cuộc tấn công diễn ra vào một thời điểm nhạy cảm đối với các nền tảng kho DeFi. Mô hình của Summer.fi phụ thuộc vào sự tin tưởng vào tự động hóa, thiết kế hợp đồng và kiểm soát rủi ro. Một báo cáo công khai sẽ cần giải thích những gì đã thất bại và các bước nào sẽ được thực hiện để bảo vệ người dùng.