币圈界报道:

Summer.fi遭闪电贷攻击,逾六百万美元DAI被转移

以太坊上的DeFi收益平台Summer.fi遭遇重大安全事件,攻击者通过操控外部流动性池与金库交互机制,成功提取价值约600万美元的DAI资产。该平台运营的Lazy Summer协议及自动金库产品成为攻击目标。

多协议联动操纵实现资金转移

攻击者借助一笔高达6540万美元的闪电贷,分阶段调用Morpho金库、Curve稳定币池以及Lazy Summer金库的存款与赎回功能,构建出一套复杂的资金流转路径。最终,所获价值被转化为DAI并转入由攻击者掌控的钱包地址。

自动化路由机制成安全审查焦点

此次事件凸显了依赖外部流动性假设与跨合约状态依赖的自动化收益模型潜在风险。系统在执行跨协议调用时,若未能有效验证实时流动性状况或价格偏差,极易被恶意利用。尤其在金库记账逻辑与外部协议响应之间存在时间差的情况下,攻击窗口更为明显。

DAI作为洗钱中间载体的追踪困境

尽管被盗资产以DAI形式呈现,具备一定的链上可追踪性,但其去中心化特性意味着无法通过发行方直接冻结。追回难度取决于攻击者是否将资金转移至交易所、跨链桥或使用混币服务进行清洗。近期类似事件显示,将非法所得转换为DAI已成为常见洗钱前置步骤。

DeFi金库架构面临持续压力测试

随着2026年大规模协议攻击浪潮的延续,金库系统、跨链桥与预言机等基础设施正承受前所未有的安全考验。收益聚合器因涉及多重策略调度与管理权委托,其复杂性放大了单一环节失效带来的连锁影响。当前亟需对受影响金库进行全面审计,明确故障点、禁用高危功能,并评估剩余资金的安全状态。