• 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

Summer.fi 遭闪电贷攻击,LazyVault 被盗600万美元

2026-07-06 18:57:30
收藏

DeFi收益聚合器Summer.fi损失约601.7万DAI

DeFi收益聚合器Summer.fi在以太坊上的一个金库因攻击者利用漏洞,损失了约601.7万美元的DAI。该事件发生于2026年7月6日,仅在一次复杂的交易中完成。CertiK在可疑活动刚开始时就发出警报,指出该协议涉及一笔异常闪电贷交互。该安全公司的监控系统实时检测到了快速的流动性操纵及随后的资金转移。

#CertiKInsight#我们检测到一笔涉及@summerfinance_的可疑交易。发送方通过约6540万美元的闪电贷进行流动性操纵,获利约600万美元。保持警惕!

攻击详情

攻击者首先通过一笔约6540万美元的闪电贷(主要为USDC和USDT)发起攻击。这笔资金被用于操纵Morpho和Curve等协议的流动性池。通过改变流动性动态,攻击者触发了失衡状态,从而得以从Summer.fi的LazyVault_LowerRisk_USDC(通常称为LVUSDC金库)中提取超额资金,原因是份额计算与去分配逻辑存在缺陷。

提取资金(主要为DAI)后,攻击者在同一笔交易中偿还了闪电贷,并将利润转移至一个以0x7BF7…BDCa开头的受控地址。整个序列以原子方式执行,将攻击者自身承担的风险降至最低,仅需支付交易费用。

600万DAI被转移

此次攻击再次表明,DeFi的损失并非总是源于简单的合约资金流失。在某些情况下,流动性深度、路由逻辑和计算假设可能共同导致重大损失,这与之前在Aave上的一次DeFi交易类似——极端滑点和低流动性造成了近5000万美元的损失。

关于Summer.fi及其影响

Summer.fi(原Oasis.app)运营着Lazy Summer Protocol,该协议在多个DeFi借贷和流动性平台上提供自动化、再平衡的收益策略。其金库旨在为散户和机构用户提供优化回报和可控风险。本次遭攻击的LVUSDC金库主要专注于低风险的USDC敞口。

这又是一起针对收益聚合金库计算逻辑的闪电贷攻击。此前类似的事故曾涉及份额价格操纵,或在流动性变动期间存款与取款处理不当等问题。

该事件还紧随其他近期DeFi安全案例,包括Transit Finance遭攻击,估计损失约188万美元。虽然技术原因不同,但这两个案例都表明,复杂的协议集成和外部流动性依赖会带来用户难以直接评估的安全风险。DeFi协议在确保稳健的定价和分配保护方面仍面临挑战,尤其是在与Curve和Morpho等外部流动性源交互时。

更广泛的DeFi生态系统在2026年持续遭遇此类攻击,凸显了金库和聚合器设计中存在的持久风险。2026年6月的一份加密货币黑客报告记录了45起区块链安全事件,表明攻击活动仍是整个行业的主要担忧。

尽管许多项目强调审计和AI驱动的再平衡,但与底层协议的复杂交互仍可能暴露计算逻辑中的边缘情况。对于收益聚合器而言,Summer.fi事件再次提醒我们,自动化策略设计不仅需要考虑正常市场条件,还必须防范围绕闪电贷和流动性操纵构建的恶意交易。

免责声明:

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证,网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用,不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责,与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文
更多新闻
自选
我的自选
查看全部
市值 价格 24h%