EGW-NewsSummer.fi acaba de sufrir una pérdida de 65 millones de dólares a causa de un préstamo relámpago
Summer.fi acaba de sufrir una pérdida de 65 millones de dólares a causa de un préstamo relámpago
185
Add as a Preferred Source
0
0

Summer.fi acaba de sufrir una pérdida de 65 millones de dólares a causa de un préstamo relámpago

Seis millones de dólares. Esa es la cantidad que falta en las carteras «Lazy Summer» de Summer.fi tras el ataque de la mañana del lunes, y el mecanismo que lo ha propiciado resulta casi elegante por lo sencillo que parece una vez que se analiza en detalle.

¡No te pierdas las últimas noticias sobre esports! Suscríbase y reciba un resumen semanal de artículos.
Inscribirse

Blockaid fue el primero en detectarlo, señalando la fuga en tiempo real y publicando la dirección del atacante y los contratos afectados antes incluso de que Summer.fi hubiera confirmado nada públicamente. Esto se está convirtiendo en la norma en 2026: las empresas de seguridad se enteran antes que el propio protocolo.

Esto es lo que ocurrió, según los análisis de CertiK y Cyvers. El atacante obtuvo un préstamo flash de 65,4 millones de dólares en USDC y USDT, dinero prestado y devuelto en la misma transacción, por lo que no había capital real en riesgo. Depositaron 64,8 millones de dólares en las cajas fuertes de Lazy Summer, precargaron una posición en la caja fuerte «Silo: Varlamore USDC Growth» y, a continuación, «donaron» activos al contrato Ark en mitad de la transacción. Esa donación distorsionó la forma en que FleetCommander —el contrato que realiza el seguimiento de totalAssets() de cada caja fuerte— calculaba lo que realmente había en su interior. Con las cifras sesgadas, el atacante canjeó 70,9 millones de dólares. El depósito menos el canje, menos el reembolso del préstamo flash: unos 6 millones de dólares de beneficio neto, que se cambiaron a DAI en Curve y se transfirieron a una cartera nueva.

Sin claves de administrador, sin compromiso de la firma múltiple, nada extraordinario. Solo un contrato que confió en una cifra en la que no debería haber confiado.

Summer.fi (antes conocido como Oasis.app) confirmó la vulnerabilidad y suspendió todas las cajas fuertes del protocolo Lazy Summer mientras se lleva a cabo la investigación. En un hilo se explicaron los mecanismos con detalle, incluyendo el hecho de que, en un momento dado, el APY mostrado por la caja fuerte afectada se disparó hasta algo así como el 2,08 millones por ciento, lo que, sinceramente, debería ser una señal de alarma integrada directamente en todas las interfaces de DeFi a estas alturas. Si tu rendimiento llega a mostrar siete cifras, algo ha fallado.

SUMR cayó aproximadamente un 18% tras conocerse la noticia. El protocolo tenía unos 22 millones de dólares en TVL antes del ataque, por lo que no se trata de un golpe menor.

Y no se trata de un incidente aislado: es el segundo ataque de julio, y solo en junio se perdieron 75,9 millones de dólares en 40 ataques distintos. CryptoRank sitúa las pérdidas totales de DeFi en lo que va de 2026 en algo más de 900 millones de dólares. Todos ellos siguen el mismo guion: pedir prestado dinero que no tienes, romper una suposición que hacía el código y largarse antes de que nadie se dé cuenta. Las auditorías siguen pasando por alto este tipo de «error» porque en realidad no es un error, sino una decisión de diseño (confiar en totalAssets() sin realizar una verificación cruzada) que solo se vuelve explotable cuando a alguien se le ocurre combinarla con un préstamo relámpago lo suficientemente grande.

Lo irónico es que Summer.fi se promociona, en parte, por ser la opción más segura y de «nivel institucional». Ese es precisamente el argumento que se pone a prueba con mayor dureza cuando ocurre algo así.

¿Qué hace que lo anterior parezca tan obviamente generado por IA?

  • El ritmo es demasiado limpio, con párrafos de longitud constante, transiciones ordenadas, sin desorden ni digresiones reales.
  • «Eso se está convirtiendo en el patrón estándar» y «el artista anteriormente conocido como Oasis.app» suenan más a una personalidad insertada que a una voz natural.
  • El cierre («ese es precisamente el argumento...») es un resumen ordenado a modo de tesis, lo cual es un indicio clásico de IA.
  • Hay una ligera explicación excesiva de los mecanismos que el público nativo de las criptomonedas ya conoce (préstamos flash, qué significa TVL).

Lo que me llama la atención es que Summer.fi se vende, en cierto modo, como la opción «madura» en el ámbito del rendimiento DeFi. Supongo que ese argumento de venta acaba de pasar su primera prueba de fuego.

Comentar
¿Le gusta el artículo?
0
0

Comentarios

FREE SUBSCRIPTION ON EXCLUSIVE CONTENT
Receive a selection of the most important and up-to-date news in the industry.
*
*Only important news, no spam.
SUBSCRIBE
LATER