• 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

Summer.fi 遭攻击,Lazy Summer 金库被盗约 600 万美元 DAI

2026-07-06 17:14:05
收藏

Summer.fi 遭遇以太坊攻击,约600万美元DAI被盗

Summer.fi 遭遇了一起以太坊攻击,攻击者利用一笔巨额闪电贷扭曲了DeFi金库与池子交互中的流动性条件,导致约600万美元被盗,其中主要为DAI。

Blockaid 的 Summer.fi 攻击预警识别出了针对该DeFi收益平台的持续盗取行为。该平台运营着 Lazy Summer 协议和自动金库产品,为用户提供管理型借贷与收益市场敞口。

攻击者通过闪电贷借入约6540万美元的USDC和USDT,然后通过Morpho金库、Curve池以及Lazy Summer金库的存款、赎回和提款等功能进行操作。这一系列操作将提取的价值转换为DAI,并将资金发送至以太坊上一个由攻击者控制的地址。

Summer.fi 自称是自动化DeFi收益平台,其 Lazy Summer 协议旨在通过金库基础设施和守护者机制重新平衡各收益来源的存款。此次攻击使该自动化路由模型成为调查焦点,尤其是在金库记账、流动性假设与外部协议调用相互交织的环节。

闪电贷路径利用Morpho和Curve流动性

早期的攻击路径指向流动性操纵,而非简单的用户端钱包盗取。闪电贷允许攻击者在单笔交易中借入大量资金,利用这些资金扭曲价格、余额或会计输入,然后在交易结束前偿还贷款。

这种结构可能暴露金库系统中的薄弱假设——这些系统依赖于外部流动性、赎回计算或特定时刻的池状态。在Summer.fi案例中,攻击者似乎利用暂时的USDC和USDT流动性,通过Morpho和Curve相关的交互,然后从Lazy Summer金库中赎回价值。

被盗资金集中在DAI上,使其具有更可追踪但仍可流动的形式。DAI可以在以太坊钱包和DeFi路径上被追踪,但它不像USDC或USDT等中心化稳定币那样具有直接的发行方冻结路径。追回现在取决于攻击者是否将资金转移到交易所、跨链桥、混币器或进行额外兑换。

该事件与早期的以太坊DeFi盗取事件类似,攻击者将窃取的价值集中到DAI中。近期的一次SquidRouterModule攻击盗取了86个Gnosis Safe中的资金,并通过攻击者控制的流动性将窃取的代币转换为DAI,这说明稳定币转换常常成为洗钱的第一步。

金库安全面临又一次压力测试

Summer.fi 攻击给本就因DeFi损失频发、跨协议攻击路径和自动化策略风险而备受关注的一年再添一击。加密货币攻击损失在重大协议和跨链桥事件后已经上升,包括更广泛的2026年DeFi攻击浪潮,该浪潮使金库、跨链桥、预言机和私钥控制受到更严格的审查。

收益聚合器与单一协议借贷市场具有不同的风险特征。它们通常将存款路由到多个策略,依赖守护者或管理者,与外部借贷池交互,并依赖于跨多个智能合约层的清晰记账。这种设计可以提高收益获取机会,但也创造了更多可能受到临时流动性扭曲冲击的环节。

现在的当务之急是Summer.fi和安全研究人员进行检查。用户需要确认受影响的金库、已禁用的功能、仍有风险的剩余资金、确切的故障点、新存款或提款是否受到限制,以及是否能在进一步转移前拦截与攻击者相关的余额。

免责声明:

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证,网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用,不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责,与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文
更多新闻
自选
我的自选
查看全部
市值 价格 24h%