Ansvarsfraskrivelse: Indholdet på NPinvestor er alene til generel information og udgør ikke finansiel, skattemæssig eller juridisk rådgivning. Dele af indholdet er udarbejdet med AI-værktøjer og kan indeholde fejl — søg professionel rådgivning ved behov. Investering indebærer risiko for tab, og historisk afkast er ingen garanti for fremtidigt afkast. NPinvestor anvender affiliate-links og kan modtage provision, når du går videre til vores partnere; det påvirker ikke din pris. Lån forudsætter, at du er fyldt 18 år, og vores partnere kreditvurderer altid ansøgere (bl.a. via RKI). Læs altid de fulde vilkår og betingelser hos den enkelte udbyder, før du investerer eller optager lån.
DeFi-protokollen Summer.fi har offentliggjort en detaljeret undersøgelse af det udbytte på 6,04 millioner dollar, som en hacker trak ud af to af protokollens USDC-boksehvælve tidligere i juli. Konklusionen er overraskende for mange i kryptomiljøet: Angrebet var ikke et spontant flash loan-hack, men et nøje planlagt forløb, der blev forberedt over flere måneder. Det skriver AMBCrypto med henvisning til Summer.fis egen post-mortem-rapport.
Ifølge rapporten brugte angriberen omkring tre måneder på at opbygge de aktiver, der senere skulle bruges til at manipulere protokollens interne prisberegning. Selve angrebet blev til sidst udført i én samlet, atomisk transaktion den 6. juli. Sagen understreger en risiko, som mange DeFi-investorer overser: At sårbarheder ikke nødvendigvis ligger i smart contract-koden, men i de operationelle processer omkring et protokol-opgør.
Måneders forberedelse bag angrebet
Summer.fi afviser i rapporten den tidlige antagelse om, at der var tale om et klassisk flash loan-angreb, hvor en hacker udnytter et lån inden for en enkelt blok til hurtigt at manipulere en markedspris. I stedet peger blockchain-data ifølge selskabet på, at angriberen finansierede flere wallets omkring tre måneder før selve angrebet.
I den periode opbyggede angriberen gradvist en beholdning af såkaldte “stale-valued” Silo vault-tokens – altså tokens, hvis registrerede værdi ikke længere afspejlede den reelle markedspris. Disse tokens blev senere brugt til at manipulere boksehvælvenes nettoaktivværdi (NAV). Flash loans indgik ganske vist i den afsluttende transaktion, men fungerede ifølge Summer.fi primært som midlertidig likviditet til at eksekvere angrebet – de skabte ikke selve sårbarheden.
Sådan blev boksehvælvene manipuleret
Kernen i angrebet lå i en ufuldstændig “offboarding”-proces af en ældre strategi i protokollen. Angriberen doneret de omtalte, forældede Silo-tokens ind i en såkaldt Ark, som allerede var blevet lukket for nye indskud som led i denne udfasning. Problemet var, at denne Ark stadig indgik i beregningen af boksehvælvets samlede nettoaktivværdi, selv om dens loft for indskud var sat til nul.
Det fik kunstigt boksehvælvets andelsværdi til at stige, hvilket gjorde det muligt for angriberen at indløse sine andele til en overvurderet pris. Herefter kunne vedkommende trække cirka 6,04 millioner dollar i USDC ud af protokollens likvide positioner. Tabet fordelte sig med omkring 5,64 millioner dollar fra det såkaldte Lower Risk USDC Vault og cirka 400.000 dollar fra Higher Risk USDC Vault.
Summer.fi understreger, at angrebet hverken skyldtes kompromitterede private nøgler, misbrug af administrative rettigheder eller en fejl i selve koden. Kontrakterne opførte sig, som de var designet til – problemet var, at en Ark med ophørt funktion forblev aktiv i regnskabsføringen, efter at dens indskudsloft var sat til nul.
Rapporten forholder sig også til et screenshot, der cirkulerede efter angrebet, og som viste en angivet årlig rente (APY) på omkring 2,08 millioner procent i et af boksehvælvene. Ifølge Summer.fi skyldtes det tal et enkelt, kortvarigt hop i den rapporterede NAV inden for én blok og afspejlede på ingen måde et reelt investeringsafkast.
Protokol sat på pause mens governance overvejer kompensation
Efter angrebet er samtlige boksehvælve i Lazy Summer Protocol blevet sat på pause, og indskudslofterne er sat til nul, mens hændelsen bliver undersøgt yderligere. Ifølge rapporten skal protokollens governance-struktur nu tage stilling til, hvordan de berørte boksehvælve skal håndteres, om brugere skal kompenseres, og hvornår de øvrige, ikke-berørte markeder trygt kan genåbnes.
For investorer, der følger DeFi-sektoren, illustrerer sagen en tilbagevendende risiko ved automatiserede yield-strategier: Selv når koden i sig selv fungerer korrekt, kan manglende oprydning efter tekniske ændringer i en protokol åbne op for udnyttelse. Det er en påmindelse om, at høje, tilsyneladende attraktive afkast i DeFi ofte bærer en operationel risiko, som er svær at gennemskue for udenforstående brugere – herunder danske investorer, der i stigende grad har fået øjnene op for stablecoin-baserede afkastprodukter.
Læs også: USDT vinder betalinger, USDC vinder DeFi, viser Dune-data



