Summer.fi kembali tumbang—transaksi flash loan senilai 6,1 juta dolar AS disedot masuk dalam satu kali transaksi kilat; masalahnya bukan pada oracle, bukan pada kunci privat, melainkan pada sepotong kode yang berisi “aku percaya kamu”.

Jalur penyerangnya sebenarnya sederhana dan nyaris keterlaluan:
· Flash loan meminjam 65,4 juta USDC + 1 juta USDT
· Menginvestasikan secara normal 64,8 juta USDC ke Fleet Commander untuk mendapatkan porsi
· Langkah kunci—mengalihkan porsi SiloVault **langsung** ke kontrak strategi Ark, melewati pintu setoran
· Saldo tercatat Ark seketika membengkak dari 0 menjadi 7,14 juta dolar AS
· Saat menghitung totalAssets, Fleet Commander langsung menerima saldo mentah yang dilaporkan Ark, sehingga penyerang menebus 71 juta USDC lalu pergi

Bersih untung 6,1 juta—selesai dalam satu transaksi.

Inilah contoh klasik serangan ERC-4626 lintas kontrak berbentuk donasi. Celah native pada ERC-4626 yang menyebabkan inflasi porsi sudah ramai diantisipasi selama dua tahun, tetapi ketika brankas dipecah menjadi arsitektur gabungan “Vault + beberapa kontrak strategi”, risikonya bergeser dari dalam satu kontrak ke **batas kepercayaan** antar kontrak. Fleet Commander memperlakukan saldo yang dilaporkan Ark sebagai kebenaran mutlak (ground truth), tanpa verifikasi internal apa pun—artinya, kunci brankas diserahkan kepada alamat yang bisa “dondonasikan” untuk memicu inflasi secara liar.

Beberapa poin yang layak direkap untuk ajang penggabungan hasil DeFi:
1. Pelaporan saldo kontrak strategi wajib melewati pintu white-list, menolak transfer masuk tanpa pemilik
2. Perhitungan totalAssets harus menyertakan pemeriksaan selisih antara pencatatan internal vs saldo eksternal
3. Semakin kompleks brankas modular, semakin perlu memperlakukan “panggilan lintas kontrak” sebagai input eksternal untuk diaudit

Laporan audit yang lolos bukan berarti aman—permukaan serangan dalam arsitektur gabungan sedang terus digali berulang kali.

#DeFi安全 #ERC4626 #Summerfi