Summer.fi wurde schon wieder abgezockt – in einer Blitzkredit-Transaktion wurden 6,1 Millionen US-Dollar eingezogen, und das Problem liegt weder am Orakel noch am privaten Schlüssel, sondern in einer Codezeile mit „Ich vertraue dir“.
Der Weg der Angreifer ist eigentlich erschreckend simpel:
· Flash Loan ausleihen: 6540 Mio. USDC + 1 Mio. USDT
· Bei Fleet Commander regulär 6480 Mio. USDC einzahlen und Anteile erhalten
· Der entscheidende Schritt – SiloVault-Anteile **direkt übertragen** an den Strategievertrag Ark, um den Einzahlungs-Entry-Punkt zu umgehen
· Der Kontostand von Ark schwillt in der Buchhaltung sofort von 0 auf 7,14 Mio. US-Dollar an
· Fleet Commander übernimmt bei der Berechnung von totalAssets direkt den von Ark gemeldeten ursprünglichen Kontostand und glaubt ihn als Wahrheitsquelle, während der Angreifer 71 Mio. USDC zurücklösen und verschwinden kann
Reingewinn: 6,1 Mio., alles mit einer einzigen Transaktion erledigt.
Das ist der typische ERC-4626-Cross-Contract-Donation-Angriff. Den nativen Inflations-Bug bei ERC-4626 haben alle seit zwei Jahren bereits im Griff, aber wenn die Verwahrstelle in ein „Vault + mehrere Strategieverträge“ aufgeteilt wird, verschiebt sich das Risiko von innen im einzelnen Vertrag hin zu der **Vertrauensgrenze zwischen Verträgen**. Fleet Commander behandelt die von Ark gemeldeten Daten als Ground Truth, macht keinerlei interne Validierung – im Grunde gibt es die Schlüssel der Verwahrstelle an eine Adresse, die beliebig „spenden“ und so den Betrag aufblähen kann.
Ein paar Punkte, die sich lohnt, für die DeFi-Rendite-Aggregations-Community zu durchleuchten:
1. Die Meldung des Saldos eines Strategievertrags muss über einen Whitelist-Entry erfolgen und darf keine unbeaufsichtigten Transfers zulassen
2. Bei der Berechnung von totalAssets sollte eine Differenzprüfung zwischen interner Buchführung und externer Bilanz eingeführt werden
3. Je modularer die Verwahrstelle, desto wichtiger ist es, „Cross-Contract Calls“ als externen Input zu auditieren
Ein bestandener Audit-Bericht heißt noch lange nicht, dass es sicher ist – in Kombi-Architekturen wird die Angriffsfläche immer wieder neu ausgegraben.
#DeFi安全 #ERC4626 #Summerfi