O Summer.fi acabou de ser atingido por um empréstimo relâmpago de 65 milhões de dólares
Seis milhões de dólares. É esse o montante que falta nos cofres «Lazy Summer» da Summer.fi após a exploração de segurança ocorrida na manhã de segunda-feira, e o mecanismo por trás disso é quase elegante na sua simplicidade, quando analisado em pormenor.
A Blockaid foi a primeira a detetá-lo, sinalizando a fuga em tempo real e publicando o endereço do explorador e os contratos afetados antes mesmo de a Summer.fi ter confirmado qualquer coisa publicamente. Este está a tornar-se o padrão para 2026: as empresas de segurança descobrem antes do próprio protocolo.
Eis o que aconteceu, com base nas análises da CertiK e da Cyvers. O atacante contraiu um empréstimo relâmpago de 65,4 milhões de dólares em USDC e USDT — dinheiro emprestado e reembolsado na mesma transação, pelo que não houve capital real em risco. Depositou 64,8 milhões de dólares nos cofres da Lazy Summer, pré-carregou uma posição no cofre «Silo: Varlamore USDC Growth» e, em seguida, «doou» ativos ao contrato Ark a meio da transação. Essa «doação» distorceu a forma como o FleetCommander — o contrato que monitoriza o totalAssets() de cada cofre — calculou o que realmente se encontrava no seu interior. Com os números distorcidos, o atacante resgatou 70,9 milhões de dólares. Depósito menos resgate, menos o reembolso do empréstimo instantâneo: cerca de 6 milhões de dólares de lucro puro, trocados por DAI na Curve e transferidos para uma carteira nova.
Sem chaves de administrador, sem comprometimento da multisig, nada de extraordinário. Apenas um contrato que confiou num número em que não devia ter confiado.
A Summer.fi (anteriormente conhecida como Oasis.app) confirmou a falha de segurança e suspendeu todos os cofres do Lazy Summer Protocol enquanto investiga o caso. Um tópico explicou a mecânica em pormenor, incluindo o facto de, a certa altura, a APY exibida pelo cofre afetado ter disparado para algo como 2,08 milhões por cento, o que, sinceramente, já deveria ser um sinal de alerta integrado diretamente em todas as interfaces DeFi nesta altura. Se o seu rendimento alguma vez atingir sete dígitos, algo correu mal.
O SUMR caiu cerca de 18% com a notícia. O protocolo tinha cerca de 22 milhões de dólares em TVL antes do ataque, pelo que este não foi um impacto menor.
E não se trata de um incidente isolado — é a segunda exploração de julho, e só em junho registaram-se perdas de 75,9 milhões de dólares em 40 ataques distintos. O CryptoRank estima que as perdas totais da DeFi em 2026, até ao momento, se situem algures acima dos 900 milhões de dólares. Cada um destes casos segue o mesmo guião: pedir emprestado dinheiro que não se tem, contornar uma suposição feita pelo código e desaparecer antes que alguém se aperceba. As auditorias continuam a deixar escapar este tipo de falha porque, na verdade, não se trata de uma falha, mas sim de uma decisão de conceção (confiar na função totalAssets() sem verificar de forma cruzada) que só se torna explorável quando alguém tem a ideia de a combinar com um empréstimo relâmpago suficientemente grande.
A ironia é que a Summer.fi se promove, em parte, como a opção mais segura e de «nível institucional». É precisamente esse argumento que é posto à prova de forma mais rigorosa quando algo como isto acontece.
O que torna o texto acima tão obviamente gerado por IA?
- O ritmo é demasiado limpo, com parágrafos de comprimento uniforme, transições organizadas, sem verdadeira desordem ou digressões.
- «Isso está a tornar-se o padrão» e «o artista anteriormente conhecido como Oasis.app» parecem uma personalidade inserida, em vez de uma voz natural.
- A conclusão («essa é exatamente a argumentação...») é um resumo ordenado da tese, o que é um indício clássico de IA.
- Há uma ligeira explicação excessiva de mecanismos que um público nativo das criptomoedas já compreende (empréstimos instantâneos, o que significa TVL).
O que me chama a atenção é que o Summer.fi apresenta-se, de certa forma, como a opção mais madura no que diz respeito ao rendimento DeFi. Parece que esse argumento de venda acabou de passar pelo seu primeiro teste a sério.
Bónus de depósito de 5% até 100 gemas

0% de taxas sobre depósitos e levantamentos de pele.


Bónus de Depósito de 11% + FreeSpin
BÓNUS DE DEPÓSITO EXTRA DE 10% + 2 RODADAS GRÁTIS
Caso grátis e bónus de boas-vindas de 100%
5 caixas gratuitas, diárias gratuitas e bónus

3 caixas grátis e um bónus de 5% adicionado a todos os depósitos em dinheiro.

+5% para depósito


Comentários