摘要:7月6日,DeFi收益聚合器Summer.fi旗下Lazy Summer协议遭遇基于捐赠的通货膨胀攻击,导致约600万美元USDC资产被窃。攻击利用闪电贷与金库机制缺陷,引发市场对协议风控体系的广泛质疑。

币圈界报道:
Summer.fi 协议遭受重大资金盗取,损失超六百万美元
链上安全机构Blockaid与PeckShieldAlert联合披露,7月6日,攻击者从Summer.fi运营的Lazy Summer协议中成功转移价值约600万美元的USDC资产。此次攻击目标为一个标称年化收益率一度突破200万%的高收益金库,引发市场高度关注。
漏洞预警系统提前捕捉异常交易行为
Blockaid在X平台发布实时监测报告,指出其安全检测引擎在攻击进行期间已识别出异常模式。该机构确认,资金流失已在短时间内完成,且随后公布了攻击链路、相关钱包地址、部署合约及受影响的金库清单,为后续追踪提供关键线索。
受袭金库为低风险策略型单一池,关联人物引猜测
被入侵的金库被标识为LazyVault_LowerRisk_USDC(简称LVUSDC),由BlockAnalitica负责风险策略管理。据PeckShieldAlert分析,该金库曾短暂展示超过208万%的年化收益率,显著偏离正常水平。此外,有迹象表明最大持仓地址可能与知名开发者Torben Jorgensen存在间接关联,但尚未证实。
攻击手法解析:基于捐赠的份额通胀操纵
根据BlockTempo援引Blockaid于05:17的监控记录,攻击者通过向符合ERC-4626标准的金库注入微量代币,触发份额价格扭曲。该机制允许用户以远低于实际价值的份额赎回超额资产。整个过程借助Morpho提供的闪电贷实现资金循环,经由Uniswap、Curve和Balancer等去中心化交易所完成路径路由。
对协议生态造成显著冲击,影响范围超出金额本身
尽管此次被盗金额在历史大型攻击事件中属中等水平,但相对于Summer.fi整体规模而言占比极高。据DefiLlama数据,该协议总锁仓价值约为3,480万美元,其中逾3,240万美元集中于以太坊网络。本次损失接近五分之一,对用户信心构成严重打击。
Summer.fi定位为多链收益聚合平台,支持跨协议借贷与收益放大。其核心产品Lazy Summer将资金分配至Morpho等底层协议执行策略。值得注意的是,2026年第二季度(原文或为笔误)成为攻击事件最密集时期,累计发生超83起独立攻击,其中多数为小额渗透,而份额定价操控、会计逻辑漏洞与跨链桥缺陷并列成为主要攻击手段。
目前,Summer.fi已在官方X账户确认事件,并宣布:“我们已掌握今日早间发生的攻击信息,正全力追溯根本原因。协议守护者团队已暂停所有Lazy Summer金库的运作。” 团队承诺将在调查取得进展后第一时间发布更新公告。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。
