Summer.fi 610 juta dolar AS dibawa pergi oleh flash loan, masalahnya bukan pada likuiditas di rantai, melainkan pada satu baris "kepercayaan".
Penyerang menggunakan flash loan sebesar 65,40 juta USDC + 1 juta USDT. Pertama, mereka menyetor 64,80 juta USDC ke Fleet Commander untuk mendapatkan porsi, lalu langsung memasukkan porsi SiloVault ke kontrak strategi Ark yang dikelola oleh Silo Finance, dengan melewati jalur setoran normal. Selanjutnya, saldo Ark yang awalnya 0 di"donasikan" langsung menjadi 7,14 juta dolar AS.
Saat menghitung totalAssets, Fleet Commander sepenuhnya mempercayai saldo awal yang dilaporkan Ark, tanpa validasi internal apa pun. Akhirnya, penyerang mengambil kesempatan untuk melakukan penarikan sebesar 71 juta USDC, sehingga transaksi tunggal itu menghasilkan keuntungan bersih sekitar 6,10 juta dolar AS dan keluar dari posisi.
Onchain Lens menilai ini sebagai serangan donasi lintas-kontrak ERC-4626. Inti dari kerentanan ini adalah: vault menganggap kontrak strategi sebagai "oracle tepercaya", sementara standar ERC-4626 sendiri tidak mewajibkan pemisahan antara transfer eksternal yang masuk dan setoran yang benar.
Tiga pengingat untuk pemegang posisi:
1. Periksa apakah protokol yang digunakan melakukan akuntansi independen di level strategi, bukan sekadar membaca balanceOf
2. Jika tingkat imbal hasil (yield) vault melonjak secara tidak wajar, lihat terlebih dahulu komposisi TVL sebelum membahas APY
3. Flash loan + pembengkakan porsi adalah kombinasi paling sering dipakai dalam DeFi selama dua tahun terakhir; jangan lagi menganggapnya sebagai black swan
Kepercayaan kode itu bukan keamanan, verifikasi itulah yang penting.
#DeFi #SmartContractSecurity #ERC4626