Summer.fi、Lazy Summer Protocol攻撃を分析:スマートコントラクト欠陥ではなくNAV算定の隙を悪用
AI マーケットサマリー
Summer.fiのLazy Summer ProtocolのUSDCボルトは、攻撃者が、停止されているものの削除されていないArkを介してNAVとシェア価格を操作し、そのArkの資産が依然としてNAVに反映されていたことにより、約604万ドルの損失を被った。スマートコントラクトのバグではないものの、この事案は、ボルトの無効化および価格算定入力における運用面とリスク管理のギャップを浮き彫りにしている。すべてのオンチェーンボルトは停止され、入金上限はゼロに設定され、ユーザーの償還および潜在的な補償を巡って短期的な不確実性が生じている。
影響度
● 中
影響を受ける資産
US/USDT+3.01%
AI インサイト · US/USDTAI インサイト
▼ 弱気
今すぐ取引
⚠️ AI によって生成されたインサイトはニュースコンテンツに基づくものであり、情報提供のみを目的としています。投資助言を構成するものではなく、BingX の見解を示すものでもありません。投資にはリスクが伴います。責任ある取引を心がけてください。
ChainCatcherによると、Summer.fiはLazy Summer ProtocolのUSDCボルトで発生した攻撃について分析レポートを公表した。攻撃者は単一のアトミック・トランザクション内で2つのUSDCボルトのシェア価格を操作し、預託者資金から約604万ドルを引き出した。
攻撃の要点は、ボルトの純資産価値(NAV)の算定方法にあった。攻撃者は、2025年11月のインシデント以降停止(pause)されていたものの、完全には除去されていなかったSilo Arkに対し、評価額が古いトークンを寄付する形で投入。これによりボルトの総資産が約9.5%水増しされ、シェア価格が押し上げられた。攻撃者は上昇した価格でシェアを償還し、ボルトの実際の流動性から資金を引き出したという。
レポートは、本件がスマートコントラクトの脆弱性によるものではなく、ボルト停止プロセスの不備によるものだと指摘する。Arkの入金上限はゼロに設定されていた一方、その資産がNAV計算に含まれ続けていた点が突かれた。
また、攻撃者は約3カ月前から複数ウォレットで必要トークンを集めるなど計画的に準備を進め、得た資金の一部をTornado Cashでマネーロンダリングしたとされる。
事後対応として、Guardian Multisigはすべてのオンチェーンボルトを停止し、各ボルトの入金上限をゼロに設定した。Lazy Summer DAOは今後数日以内に、影響を受けたユーザーへの補償方針とボルト復旧案について協議する見通し。