Summer.fi 게으른 여름 공격은 계약의 취약점이 아니라 NAV 메커니즘이 악용된 것입니다
Summer.fi는 Lazy Summer Protocol USDC 금고 공격 사건 분석 보고서를 발표했습니다. 공격자는 단일 원자 거래에서 두 개의 USDC 금고 지분 가격을 조작하여 약 604만 달러의 예치자 자금을 인출했습니다. 공격의 핵심은 금고 자산 순자산 가치(NAV) 계산 방식에 있습니다.
공격자는 2025년 11월 사건 이후 중단되었지만 아직 완전히 제거되지 않은 Silo Ark에 여전히 이전 평가를 유지하는 토큰을 기부하여 금고 총 자산이 약 9.5% 부풀려지게 했고, 지분 가격이 상승하여 이후 부풀려진 가격으로 환매하고 금고의 실제 유동성에서 인출했습니다. 보고서는 이 공격이 계약 코드의 취약점이 아니라 금고 오프라인 프로세스에서의 단계 누락으로 인한 것임을 강조합니다. ------ 해당 Ark의 예치 한도는 제로로 설정되었지만 여전히 활성 자산 집중에 포함되어 NAV에 반영되었습니다.
공격자는 3개월 전에 여러 지갑을 통해 필요한 토큰을 미리 계획하여 축적했으며, 일부 수익은 Tornado Cash를 통해 이전했습니다. 사건 발생 후, Guardian Multisig는 모든 온체인 금고를 중단하고 예치 한도를 제로로 설정했습니다. Lazy Summer DAO는 향후 몇 일 내에 영향을 받은 사용자 보상 방안 및 금고 재가동 계획을 논의할 것입니다.
관련 태그






