Das DeFi-Protokoll Summer Finance verzeichnete einen Verlust von 6 Millionen USD durch einen gezielten Exploit. On-Chain-Analysten und Sicherheitsfirmen identifizierten am Montag einen Flash-Loan-Angriff auf die Smart Contracts. Die betroffenen Gelder wurden bereits in DAI konvertiert.
Mechanik des Flash-Loan-Angriffs
Die Sicherheitsfirma CertiK analysierte den Vorfall und stellte fest, dass der Angreifer einen Flash Loan in Höhe von 65,4 Millionen USD nutzte. Damit erreichte der Akteur eine Gesamtrückzahlung von 70,9 Millionen USD. Die Manipulation betraf die Bestandsführung des Lazy Summer Protocols innerhalb der Vaults.
Der Exploit zielte auf die Funktion totalAssets() des FleetCommander-Smart-Contracts ab. Laut CertiK manipulierte der Angreifer die Buchhaltung verschiedener Vaults, insbesondere den Silo: Varlamore USDC Growth. Zuvor hatte der Akteur Positionen in diesem Vault akkumuliert und an den Ark-Contract übertragen.
"Attacker was able to redeem $70.9M following a $64.8M deposit thanks to manipulation of FleetCommander's accounting", schrieb CertiK in der technischen Analyse. Der Fleet Commander steuert die Vaults, während der Ark-Contract die Verbindung zu externen Lending-Protokollen herstellt.
Die Sicherheitsfirma Blockaid schlug bereits am frühen Montagmorgen Alarm. Parallel dazu meldete Cyvers via X, dass eine Schwachstelle in der Share-Accounting-Logik durch Preismanipulation ausgenutzt wurde. Die gestohlenen 6 Millionen USD flossen direkt auf eine kontrollierte Angriffsadresse.
Reaktion und Marktauswirkungen
Summer Finance hat den Vorfall auf den offiziellen Kanälen bisher nicht bestätigt. Die genaue Ursache der Sicherheitslücke bleibt laut The Block ungeklärt, da das Team noch keine Stellungnahme abgegeben hat. Der Markt reagierte ruhig auf die Nachricht vom Montag.
Zum Zeitpunkt der Meldung notierte Bitcoin 62.665 USD und Ethereum 1.758,44 USD laut CoinGecko. Die Volatilität blieb gering, während BNB mit einem Plus von 0,53 % auf 578,63 USD stieg. Der Vorfall betrifft primär Nutzer des automatisierten Yield-Optimierungssystems von Summer.fi.
Fazit: Sicherheitsmaßnahmen für DeFi-Nutzer
Die Verbindung von KI-Keepern und komplexen Vault-Strukturen erhöht das Risiko für Buchhaltungsfehler in Smart Contracts. Wer Liquidität in Yield-Optimierern hält, sollte seine Berechtigungen prüfen und unnötige Approvals widerrufen. Eine Diversifikation der Assets über verschiedene Protokolle reduziert das Total-Loss-Risiko bei Einzel-Exploits.
Quelle: The Block






