Summer.fiのLazy Summer攻撃は契約の脆弱性ではなく、NAVメカニズムが悪用されたものである。
Summer.fiはLazy Summer Protocol USDC金庫攻撃事件分析報告を発表しました。攻撃者は単一の原子取引で2つのUSDC金庫のシェア価格を操作し、約604万ドルの預金者資金を引き出しました。攻撃の核心は金庫資産の純資産価値(NAV)の計算方法にあります。
攻撃者は2025年11月の事件後に一時停止されたがまだ完全に削除されていないSilo Arkに、旧来の評価を保持しているトークンを寄付し、金庫の総資産が約9.5%虚増し、シェア価格が引き上げられ、その後高騰した価格で償還し、金庫の実際の流動性から資金を引き出しました。報告書は、この攻撃は契約コードの脆弱性によるものではなく、金庫のオフラインプロセスにおける段階の欠如によるものであると強調しています------そのArkの預金上限はゼロに設定されていましたが、依然として活発な資産集中においてNAVに計上されていました。
攻撃者は3ヶ月前に複数のウォレットを通じて必要なトークンを計画的に蓄積し、一部の利益をTornado Cashを通じて移転しました。事件発生後、Guardian Multisigはすべてのオンチェーン金庫を一時停止し、預金上限をゼロに設定しました。Lazy Summer DAOは今後数日間で影響を受けたユーザーへの補償プランおよび金庫再起動計画について議論します。
関連タグ






