摘要:Summer.fi宣布逐步停止运营,因一次针对其估值机制的闪电贷攻击导致逾600万美元资金被提取。攻击源于已淘汰策略仍参与活跃估值,引发连锁损失。协议未来将由DAO接管,但赔偿方案尚未明确。

币圈界报道:
Summer.fi正式宣告停摆:闪电贷攻击致超600万美元资产流失
Summer.fi 宣布将启动有序退出流程,不再继续运营。此前,一名攻击者利用闪电贷手段,通过操纵 Lazy Summer Vaults 的资产净值计算机制,在以太坊网络上从两个 USDC 存款金库中抽离约 604 万美元。尽管官方平台界面、客户支持系统及 Discord 频道将持续开放至 2026 年 8 月 31 日,底层协议 Lazy Summer Protocol 将由 DAO 独立治理,并不会自动终止。团队在公告中指出,此次事件造成核心资金池严重受损,致使无法维持后续修复与基础设施投入。
协议处于持续萎缩状态,抗风险能力已显著下降
自 2021 年脱离 Maker Foundation 后,Summer.fi 已独立运行近七年,曾吸引超过五万名用户通过 Oasis.app 与主平台参与。其核心协议 Lazy Summer Protocol 上线初期迅速扩张,前九个月总锁仓价值(TVL)逼近 2 亿美元。然而,近期数据显示其生态已明显衰退。DefiLlama 报告显示,当前最新快照中协议 TVL 仅余约 1280 万美元,季度收入亦从 2025 年第三季度的 21.83 万美元滑落至 2026 年第二季度的 4.742 万美元。尽管该指标变化可能受提款、代币价格波动或估值模型调整影响,但整体趋势反映项目吸引力持续减弱。值得注意的是,团队自身资本中也有相当比例存放于受影响金库,因此本次攻击不仅侵蚀用户资产,更直接冲击了项目自身的可持续运营基础。
过时策略残留触发估值失真,成为攻击突破口
攻击者并未突破智能合约权限,而是利用协议中一个已废弃却未彻底移除的策略组件——Silo Varlamore USDC Growth Vault 代币——进行价值操控。该策略虽已停止接受新存款且限额归零,但仍未从活跃的 FleetCommander 估值集合中清除,导致其过时的资产估值仍持续影响金库的净资产值(NAV)。攻击者通过向该策略捐赠大量此类代币,人为抬高金库报告价值,从而获得虚高的份额定价。借此,其得以在同笔交易中从 Morpho、Spark 和 Sky 等其他真实流动性策略中赎回大量实际可用的 USDC。根据官方复盘分析,攻击全程使用超过 6500 万美元的闪电贷完成,其中低风险金库损失约 564 万美元,高风险部分损失约 40 万美元。调查确认无新引入的代码缺陷,问题根源在于策略关停流程执行不完整。此外,关联钱包在攻击前数月即开始累积目标代币,表明存在预谋行为。攻击完成后,攻击者偿还贷款并将其余收益转换为 DAI,部分资金经由 Tornado Cash 实现去中心化转移。
DAO将接手协议命运,恢复路径待治理决策
随着 Summer.fi Labs 正式关闭,Lazy Summer Protocol 将由 Lazy Summer DAO 继续管理。攻击发生后,所有金库已被暂停,存款功能全面冻结。目前 DAO 正在推进恢复提款与份额赎回机制的程序,相关功能将在准备就绪后重新上线。不过,团队尚未承诺对受损用户实施全额补偿。任何后续重建计划或长期发展方向均需依赖社区治理投票决定。该事件被 DefiLlama 归类为“以太坊上的协议逻辑捐赠攻击”,并指出协议全生命周期累计收入约为 23.205 万美元,而此次损失规模已达其总收入的约 26 倍,凸显风险与回报严重失衡。此案例也嵌入于 2026 年初加密行业频繁爆发的安全事件背景之中——据 5 月发布的黑客报告,当季共记录 41 起攻击,总损失达 8420 万美元。夏末前,平台仍将保持开放,之后所有恢复操作及协议未来走向将完全交由社区自治处理。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。
