DeFi-протокол Summer.fi взломали на $6 млн6 июля DeFi-протокол Summer.fi подвергся хакерскому взлому. Об этом заявила команда проекта.
📅
06.07.2026 10:09
6 июляDeFi-протокол Summer.fi подвергся хакерскому взлому. Об этом заявила команда проекта.
We are aware of the reported exploit a little earlier today and are investigating the root cause. The protocol guardians are currently pausing all Vaults across the Lazy Summer Protocol.We will provide more updates as we have them.— Summer.fi ☀ (@summerfinance_)July 6, 2026
We are aware of the reported exploit a little earlier today and are investigating the root cause. The protocol guardians are currently pausing all Vaults across the Lazy Summer Protocol.We will provide more updates as we have them.— Summer.fi ☀ (@summerfinance_)July 6, 2026
Точную сумму ущерба и технические детали атаки разработчики не раскрыли.
По данным Cyvers, атакующий воспользовался уязвимостью в механизме учета долей активов и провел манипуляции с ценами. Затем он обменял похищенные $6 млн настейблкоины DAIи перевел их на собственный адрес.
🚨ALERT🚨Our system has detected a suspicious transaction involving@summerfinance_with an estimated loss of $6M.An address funded via#FixedFloaton#Baseexecuted a suspicious transaction on the#ETHnetwork.Root cause: The attacker appears to have exploited a share…pic.twitter.com/oS1OE5vGYh— 🚨 Cyvers Alerts 🚨 (@CyversAlerts)July 6, 2026
🚨ALERT🚨Our system has detected a suspicious transaction involving@summerfinance_with an estimated loss of $6M.An address funded via#FixedFloaton#Baseexecuted a suspicious transaction on the#ETHnetwork.Root cause: The attacker appears to have exploited a share…pic.twitter.com/oS1OE5vGYh— 🚨 Cyvers Alerts 🚨 (@CyversAlerts)July 6, 2026
Согласно CertiK, злоумышленник использовалфлэш-кредитна $65,4 млн, чтобы временно увеличить объем средств в протоколе и инициировать вывод около $70,9 млн. Прибыль составила около $6 млн — она досталась хакеру.
Манипуляция затронула систему учета активов в Lazy Summer. Она автоматически перераспределяет депозиты пользователей между кредитными платформами.
1/ Attacker was able to redeem $70.9M following $64.8M deposit thanks to manipulation of FleetCommander’s accounting of totalAssets() on a host of vaults, particularly Silo: Varlamore USDC Growth, which the attacker had accumulated beforehand and donated to the Ark in between.pic.twitter.com/x2eeKlWy3n— CertiK Alert (@CertiKAlert)July 6, 2026
1/ Attacker was able to redeem $70.9M following $64.8M deposit thanks to manipulation of FleetCommander’s accounting of totalAssets() on a host of vaults, particularly Silo: Varlamore USDC Growth, which the attacker had accumulated beforehand and donated to the Ark in between.pic.twitter.com/x2eeKlWy3n— CertiK Alert (@CertiKAlert)July 6, 2026
Специалисты подчеркнули, что уязвимость связана с искажением показателя totalAssets() в смарт-контрактах FleetCommander, отвечающих за управление хранилищами. Дополнительно на схему повлиял контракт Ark, который связывает протокол с внешними лендинговыми сервисами.
Напомним, в июне ущерб от криптовзломовснизилсядо $75,9 млн. Специалисты зафиксировали 40 инцидентов. Крупнейшим сталаатака на Humanity Protocol, в результате которой проект лишился $31 млн.
Во втором квартале количество эксплойтовсоставило 83— максимум за всю историю наблюдений.