Summer.fi 610 triệu USD bị flash loan “cuốn đi”, vấn đề không nằm ở thanh khoản trên chuỗi, mà ở một dòng chữ “niềm tin”.
Kẻ tấn công dùng flash loan 65,40 triệu USDC + 1 triệu USDT. Trước tiên, hắn gửi 64,80 triệu USDC vào Fleet Commander để nhận phần (shares), rồi nhét trực tiếp shares của SiloVault vào hợp đồng chiến lược Ark do Silo Finance quản lý. Hắn bỏ qua luồng gửi tiền thông thường, khiến số dư Ark từ 0 được “hiến” ngay thành 7,14 triệu USD.
Fleet Commander khi tính totalAssets lại hoàn toàn tin vào số dư gốc mà Ark tự báo, không có bất kỳ kiểm tra nội bộ nào. Nhờ vậy, kẻ tấn công rút theo hướng này, redeem 71 triệu USDC, và rời khỏi hệ thống với lợi nhuận ròng khoảng 6,1 triệu USD trong một giao dịch.
Onchain Lens định danh đây là kiểu tấn công “hiến tặng” xuyên hợp đồng theo chuẩn ERC-4626. Bản chất của lỗ hổng này là: vault coi hợp đồng chiến lược như một “oracle đáng tin”, trong khi bản thân chuẩn ERC-4626 không bắt buộc phải cô lập các khoản chuyển vào từ bên ngoài với khoản tiền thực nhận.
3 lưu ý cho người nắm giữ vị thế:
1. Kiểm tra giao thức đang dùng có thực hiện kế toán độc lập ở lớp chiến lược hay không, thay vì chỉ đọc trực tiếp balanceOf
2. Với vault có tỷ suất sinh lời (APY) bị kéo bất thường, hãy xem trước cơ cấu TVL rồi hãy nói tới APY
3. Flash loan + bơm phình shares là “combo” có tần suất cao nhất trong DeFi trong gần hai năm qua, đừng còn coi đó là “thiên nga đen”
“Tin tưởng” bằng mã không phải là an toàn; xác minh mới là điều quan trọng.
#DeFi #SmartContractSecurity #ERC4626