Summer.fi vuelve a caer—se llevaron 6,1 millones de dólares en una operación relámpago dentro de un préstamo flash; el problema no está en el oráculo ni en la clave privada, sino en una línea de código de “te creo”.
El camino del atacante, en realidad, es ridículamente simple:
· Toma prestados 6540 millones de USDC y 1000 mil USDT mediante un préstamo flash
· Depósito normal de 6480 millones de USDC en Fleet Commander para obtener participaciones
· Paso clave—transferir **directamente** las participaciones de SiloVault al contrato de estrategia Ark, evitando la entrada de depósitos
· El saldo contable de Ark infla instantáneamente de 0 a 714 millones de dólares
· Fleet Commander calcula totalAssets aceptando sin más el saldo original que Ark reporta; el atacante canjea 7100 millones de USDC y se va
Ganancia neta de 6,1 millones; todo resuelto con una sola transacción.
Este es el típico ataque de donación entre contratos compatibles con ERC-4626. El fallo nativo de inflación de participaciones en ERC-4626, del que todos se han protegido durante dos años, pero cuando el tesoro se descompone en una arquitectura combinada de “Vault + múltiples contratos de estrategia”, el riesgo se traslada de dentro de un solo contrato a la **frontera de confianza** entre contratos. Fleet Commander toma el saldo reportado por Ark como verdad absoluta (ground truth) y no realiza ninguna validación interna; en esencia, entrega las llaves del tesoro a una dirección que cualquiera puede “inflar” mediante una “donación”.
Puntos para revisar en el circuito completo de agregación de beneficios DeFi:
1. El reporte del saldo del contrato de estrategia debe pasar por una entrada con lista blanca, rechazando transferencias sin dueño
2. El cálculo de totalAssets debe incluir una comprobación de la diferencia entre el registro interno y el saldo externo
3. Cuanto más complejo sea el tesoro modular, más necesario es tratar las “llamadas entre contratos” como una entrada externa para auditar
Que un informe de auditoría haya pasado no equivale a que sea seguro; en arquitecturas combinadas, el área de ataque se sigue descubriendo una y otra vez.
#DeFi安全 #ERC4626 #Summerfi