Summer.fi zaatakowany; skradziono 6 mln USD

Protokół Summer.fi padł ofiarą exploitu: napastnik użył flash pożyczki na 65,4 mln USD i wyprowadził około 6 mln USD w DAI, manipulując mechaniką księgową protokołu.

Atak został zgłoszony przez firmy zajmujące się bezpieczeństwem w DeFi — PeckShieldAlert, Blockaid i CertiK. Incydent miał miejsce 6 lipca 2026 r. Napastnik przeprowadził jedną transakcję, w której wykorzystano flash pożyczkę obejmującą około 65,419 mln USDC i 1 mln USDT, a końcowy zysk wyniósł około 6 mln USD w DAI.

Analiza działania wskazuje, że nie doszło do kradzieży kluczy prywatnych ani przejęcia uprawnień administracyjnych. Według Odysseasa Lamtzidisa, założyciela Phylax Systems, napastnik manipulował logiką księgową protokołu: wpłacał depozyty, umarzał tokeny i wypłacał środki z różnych modułów w ramach jednej transakcji, co pozwoliło na emisję i umorzenie tokenów LVUSDC na korzystnych warunkach.

W ataku wykorzystano moduły Lazy Summer oraz VaultV2, które odpowiadają za salda i płynność w systemie. Po operacjach kontrakt wymienił nadwyżkę USDC na DAI za pośrednictwem giełdy Curve, a następnie przesłał ponad 6 mln DAI na adres kontrolowany przez sprawcę. CertiK oszacował zysk napastnika na około 6 mln USD.

Kontrakt wykonujący exploit nie został zweryfikowany. Organizacje monitorujące bezpieczeństwo analizują łańcuch transakcji, śledzą powiązane adresy i badają możliwe ścieżki odzyskania środków.

Flash pożyczki to krótkoterminowe pożyczki, które muszą zostać spłacone w tej samej transakcji. Pozwalają na użycie dużych sum bez zabezpieczeń i są powszechnie stosowane w DeFi do arbitrażu i operacji płynnościowych. W tym przypadku użyto ich do wykonania serii działań, które — według raportów firm bezpieczeństwa — wykorzystały błędy w obliczaniu sald protokołu.

Treści publikowane na GNcrypto mają wyłącznie charakter informacyjny i nie stanowią porady finansowej. Dokładamy starań, aby informacje były rzetelne i aktualne, jednak nie gwarantujemy ich pełnej poprawności, kompletności ani niezawodności. GNcrypto nie ponosi odpowiedzialności za ewentualne błędy, pominięcia ani straty finansowe wynikające z polegania na tych treściach. Wszystkie działania podejmujesz na własne ryzyko. Zawsze prowadź własne badania i korzystaj z pomocy profesjonalistów. Szczegóły znajdziesz w naszych Warunkach, Polityce prywatności i Zastrzeżeniach.

Artykuły tego autora