EGW-NewsO Summer.fi acabou de ser atingido por um empréstimo relâmpago de 65 milhões de dólares
O Summer.fi acabou de ser atingido por um empréstimo relâmpago de 65 milhões de dólares
238
Add as a Preferred Source
0
0

O Summer.fi acabou de ser atingido por um empréstimo relâmpago de 65 milhões de dólares

Seis milhões de dólares. É esse o montante que falta nos cofres «Lazy Summer» da Summer.fi após a exploração de segurança ocorrida na manhã de segunda-feira, e o mecanismo por trás disso é quase elegante na sua simplicidade, quando analisado em pormenor.

Não percas as notícias e as actualizações dos desportos electrónicos! Inscreve-te e recebe semanalmente um resumo de artigos!
Inscrever-se

A Blockaid foi a primeira a detetá-lo, sinalizando a fuga em tempo real e publicando o endereço do explorador e os contratos afetados antes mesmo de a Summer.fi ter confirmado qualquer coisa publicamente. Este está a tornar-se o padrão para 2026: as empresas de segurança descobrem antes do próprio protocolo.

Eis o que aconteceu, com base nas análises da CertiK e da Cyvers. O atacante contraiu um empréstimo relâmpago de 65,4 milhões de dólares em USDC e USDT — dinheiro emprestado e reembolsado na mesma transação, pelo que não houve capital real em risco. Depositou 64,8 milhões de dólares nos cofres da Lazy Summer, pré-carregou uma posição no cofre «Silo: Varlamore USDC Growth» e, em seguida, «doou» ativos ao contrato Ark a meio da transação. Essa «doação» distorceu a forma como o FleetCommander — o contrato que monitoriza o totalAssets() de cada cofre — calculou o que realmente se encontrava no seu interior. Com os números distorcidos, o atacante resgatou 70,9 milhões de dólares. Depósito menos resgate, menos o reembolso do empréstimo instantâneo: cerca de 6 milhões de dólares de lucro puro, trocados por DAI na Curve e transferidos para uma carteira nova.

Sem chaves de administrador, sem comprometimento da multisig, nada de extraordinário. Apenas um contrato que confiou num número em que não devia ter confiado.

A Summer.fi (anteriormente conhecida como Oasis.app) confirmou a falha de segurança e suspendeu todos os cofres do Lazy Summer Protocol enquanto investiga o caso. Um tópico explicou a mecânica em pormenor, incluindo o facto de, a certa altura, a APY exibida pelo cofre afetado ter disparado para algo como 2,08 milhões por cento, o que, sinceramente, já deveria ser um sinal de alerta integrado diretamente em todas as interfaces DeFi nesta altura. Se o seu rendimento alguma vez atingir sete dígitos, algo correu mal.

O SUMR caiu cerca de 18% com a notícia. O protocolo tinha cerca de 22 milhões de dólares em TVL antes do ataque, pelo que este não foi um impacto menor.

E não se trata de um incidente isolado — é a segunda exploração de julho, e só em junho registaram-se perdas de 75,9 milhões de dólares em 40 ataques distintos. O CryptoRank estima que as perdas totais da DeFi em 2026, até ao momento, se situem algures acima dos 900 milhões de dólares. Cada um destes casos segue o mesmo guião: pedir emprestado dinheiro que não se tem, contornar uma suposição feita pelo código e desaparecer antes que alguém se aperceba. As auditorias continuam a deixar escapar este tipo de falha porque, na verdade, não se trata de uma falha, mas sim de uma decisão de conceção (confiar na função totalAssets() sem verificar de forma cruzada) que só se torna explorável quando alguém tem a ideia de a combinar com um empréstimo relâmpago suficientemente grande.

A ironia é que a Summer.fi se promove, em parte, como a opção mais segura e de «nível institucional». É precisamente esse argumento que é posto à prova de forma mais rigorosa quando algo como isto acontece.

O que torna o texto acima tão obviamente gerado por IA?

  • O ritmo é demasiado limpo, com parágrafos de comprimento uniforme, transições organizadas, sem verdadeira desordem ou digressões.
  • «Isso está a tornar-se o padrão» e «o artista anteriormente conhecido como Oasis.app» parecem uma personalidade inserida, em vez de uma voz natural.
  • A conclusão («essa é exatamente a argumentação...») é um resumo ordenado da tese, o que é um indício clássico de IA.
  • Há uma ligeira explicação excessiva de mecanismos que um público nativo das criptomoedas já compreende (empréstimos instantâneos, o que significa TVL).

O que me chama a atenção é que o Summer.fi apresenta-se, de certa forma, como a opção mais madura no que diz respeito ao rendimento DeFi. Parece que esse argumento de venda acabou de passar pelo seu primeiro teste a sério.

Comentar
Você gostou do artigo?
0
0

Comentários

FREE SUBSCRIPTION ON EXCLUSIVE CONTENT
Receive a selection of the most important and up-to-date news in the industry.
*
*Only important news, no spam.
SUBSCRIBE
LATER