DeFi收益聚合器Summer.fi损失约601.7万DAI
DeFi收益聚合器Summer.fi在以太坊上的一个金库因攻击者利用漏洞,损失了约601.7万美元的DAI。该事件发生于2026年7月6日,仅在一次复杂的交易中完成。CertiK在可疑活动刚开始时就发出警报,指出该协议涉及一笔异常闪电贷交互。该安全公司的监控系统实时检测到了快速的流动性操纵及随后的资金转移。
#CertiKInsight#
我们检测到一笔涉及@summerfinance_的可疑交易。发送方通过约6540万美元的闪电贷进行流动性操纵,获利约600万美元。保持警惕!
攻击详情
攻击者首先通过一笔约6540万美元的闪电贷(主要为USDC和USDT)发起攻击。这笔资金被用于操纵Morpho和Curve等协议的流动性池。通过改变流动性动态,攻击者触发了失衡状态,从而得以从Summer.fi的LazyVault_LowerRisk_USDC(通常称为LVUSDC金库)中提取超额资金,原因是份额计算与去分配逻辑存在缺陷。
提取资金(主要为DAI)后,攻击者在同一笔交易中偿还了闪电贷,并将利润转移至一个以0x7BF7…BDCa开头的受控地址。整个序列以原子方式执行,将攻击者自身承担的风险降至最低,仅需支付交易费用。
600万DAI被转移
此次攻击再次表明,DeFi的损失并非总是源于简单的合约资金流失。在某些情况下,流动性深度、路由逻辑和计算假设可能共同导致重大损失,这与之前在Aave上的一次DeFi交易类似——极端滑点和低流动性造成了近5000万美元的损失。
关于Summer.fi及其影响
Summer.fi(原Oasis.app)运营着Lazy Summer Protocol,该协议在多个DeFi借贷和流动性平台上提供自动化、再平衡的收益策略。其金库旨在为散户和机构用户提供优化回报和可控风险。本次遭攻击的LVUSDC金库主要专注于低风险的USDC敞口。
这又是一起针对收益聚合金库计算逻辑的闪电贷攻击。此前类似的事故曾涉及份额价格操纵,或在流动性变动期间存款与取款处理不当等问题。
该事件还紧随其他近期DeFi安全案例,包括Transit Finance遭攻击,估计损失约188万美元。虽然技术原因不同,但这两个案例都表明,复杂的协议集成和外部流动性依赖会带来用户难以直接评估的安全风险。DeFi协议在确保稳健的定价和分配保护方面仍面临挑战,尤其是在与Curve和Morpho等外部流动性源交互时。
更广泛的DeFi生态系统在2026年持续遭遇此类攻击,凸显了金库和聚合器设计中存在的持久风险。2026年6月的一份加密货币黑客报告记录了45起区块链安全事件,表明攻击活动仍是整个行业的主要担忧。
尽管许多项目强调审计和AI驱动的再平衡,但与底层协议的复杂交互仍可能暴露计算逻辑中的边缘情况。对于收益聚合器而言,Summer.fi事件再次提醒我们,自动化策略设计不仅需要考虑正常市场条件,还必须防范围绕闪电贷和流动性操纵构建的恶意交易。

交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注