EGW-NewsSummer.fi wurde gerade durch einen 65-Millionen-Dollar-Flash-Kredit in die Knie gezwungen
Summer.fi wurde gerade durch einen 65-Millionen-Dollar-Flash-Kredit in die Knie gezwungen
182
Add as a Preferred Source
0
0

Summer.fi wurde gerade durch einen 65-Millionen-Dollar-Flash-Kredit in die Knie gezwungen

Sechs Millionen Dollar. So viel fehlt nach dem Exploit am Montagmorgen aus den „Lazy Summer“-Tresoren von Summer.fi, und der Mechanismus dahinter ist fast schon elegant, wenn man ihn einmal genau betrachtet – so einfach klingt er nämlich.

Verpassen Sie keine esport-Nachrichten und Updates! Melde dich an und erhalte eine wöchentliche Zusammenfassung der Artikel!
Anmeldung

Blockaid entdeckte den Vorfall als Erstes, meldete den Abfluss in Echtzeit und veröffentlichte die Adresse des Angreifers sowie die betroffenen Smart Contracts, noch bevor Summer.fi überhaupt etwas öffentlich bestätigt hatte. Das wird zum Standardmuster für das Jahr 2026: Sicherheitsfirmen finden es heraus, bevor das Protokoll selbst davon erfährt.

Hier ist der Tathergang, basierend auf den Analysen von CertiK und Cyvers. Der Angreifer nahm einen Flash-Kredit in Höhe von 65,4 Millionen US-Dollar in USDC und USDT auf – Geld, das im Rahmen derselben Transaktion geliehen und zurückgezahlt wurde, sodass kein echtes Kapital gefährdet war. Er zahlte 64,8 Millionen Dollar in die Tresore von Lazy Summer ein, legte vorab eine Position im „Silo: Varlamore USDC Growth“-Tresor an und „spendete“ dann mitten in der Transaktion Vermögenswerte an den Ark-Vertrag. Diese „Spende“ verfälschte die Berechnung des tatsächlichen Bestands durch FleetCommander – den Vertrag, der die`totalAssets()` jedes Tresors erfasst. Da die Zahlen verzerrt waren, löste der Angreifer 70,9 Millionen Dollar ein. Einzahlung minus Einlösung, minus der Rückzahlung des Flash-Kredits: etwa 6 Millionen Dollar Reingewinn, der auf Curve in DAI umgetauscht und in eine neue Wallet transferiert wurde.

Keine Admin-Schlüssel, keine Kompromittierung der Multisig, nichts Ausgefallenes. Nur ein Vertrag, der einer Zahl vertraut hat, der er nicht hätte vertrauen sollen.

Summer.fi (früher bekannt als Oasis.app) bestätigte den Exploit und setzte alle Vaults des Lazy Summer Protocol aus, während die Untersuchungen laufen. In einem Thread wurde die Funktionsweise detailliert dargelegt, einschließlich der Tatsache, dass der angezeigte APY des betroffenen Vaults zu einem bestimmten Zeitpunkt auf etwa 2,08 Millionen Prozent in die Höhe schoss – was ehrlich gesagt mittlerweile ein Warnsignal sein sollte, das direkt in jedes DeFi-Frontend integriert sein müsste. Wenn Ihre Rendite jemals siebenstellige Werte anzeigt, ist etwas schiefgelaufen.

SUMR verlor aufgrund dieser Nachricht rund 18% an Wert. Das Protokoll wies vor dem Angriff ein TVL von etwa 22 Millionen US-Dollar auf, es handelte sich also nicht um einen kleinen Rückschlag.

Und es handelt sich nicht um einen Einzelfall – es ist bereits der zweite Exploit im Juli, und allein im Juni gingen bei 40 verschiedenen Hacks 75,9 Millionen US-Dollar verloren. CryptoRank beziffert die gesamten DeFi-Verluste des Jahres 2026 bislang auf über 900 Millionen US-Dollar. Jeder einzelne dieser Vorfälle folgt dem gleichen Muster: Man leiht sich Geld, das man nicht hat, unterläuft eine Annahme des Codes und verschwindet, bevor es jemand bemerkt. Audits übersehen diese Art von Fehler immer wieder, weil es sich nicht wirklich um einen Fehler handelt, sondern um eine Designentscheidung (das Vertrauen in`totalAssets()` ohne Gegenprüfung), die erst dann ausnutzbar wird, wenn jemand auf die Idee kommt, sie mit einem ausreichend großen Flash-Kredit zu kombinieren.

Die Ironie dabei ist, dass Summer.fi sich teilweise damit vermarktet, die sicherere, eher „institutional-grade“-Option zu sein. Genau dieser Anspruch wird am härtesten auf die Probe gestellt, wenn so etwas passiert.

Was macht das Obige so offensichtlich als KI-generiert erkennbar?

  • Der Rhythmus ist zu glatt, gleichmäßige Absatzlängen, ordentliche Übergänge, kein echtes Durcheinander oder Abschweifungen.
  • „Das wird zum Standardmuster“ und „der Künstler, der früher als Oasis.app bekannt war“ lesen sich eher wie eingefügte Persönlichkeitsmerkmale als wie eine natürliche Stimme.
  • Der Schluss („Das ist genau das Verkaufsargument…“) ist eine ordentliche Zusammenfassung der These – ein klassisches AI-Verratzeichen.
  • Leichte Übererläuterung von Mechanismen, die ein krypto-affines Publikum ohnehin schon versteht (Flash-Kredite, was TVL bedeutet).

Was mich stört, ist, dass Summer.fi sich gewissermaßen als die „erwachsene“ Option im Bereich der DeFi-Renditen verkauft. Ich schätze, dieser Pitch hat gerade seine erste echte Bewährungsprobe bestanden.

Kommentieren
Hat Ihnen der Artikel gefallen?
0
0

Kommentare

FREE SUBSCRIPTION ON EXCLUSIVE CONTENT
Receive a selection of the most important and up-to-date news in the industry.
*
*Only important news, no spam.
SUBSCRIBE
LATER