Експлойт у Summer.fi: хакер викрав близько $6 млн

DeFi-протокол Summer.fi 6 липня зазнав експлойту: зловмисник вивів понад $6 млн у DAI, використавши флешпозики на $65,4 млн і маніпуляцію обліковою логікою.

DeFi-протокол Summer.fi зазнав експлойту 6 липня 2026 року: зловмисник вивів понад $6 млн у DAI. За даними компаній із кібербезпеки PeckShieldAlert, Blockaid і CertiK, атака не пов’язана з компрометацією приватних ключів або адміністративних прав.

Атаку почали з флешпозики на приблизно $65,4 млн — 65,419 млн USDC і 1 млн USDT. Флешпозика була отримана і повернена в межах однієї транзакції, що дозволило провести серію операцій без власних засобів атакуючого.

За попереднім аналізом засновника Phylax Systems Одіссеаса Ламтзидіса, зловмисник скористався вразливістю в логіці облікових механізмів протоколу. Нападник вніс депозити в модулі Lazy Summer і VaultV2, провів операції з випуску та погашення внутрішніх токенів LVUSDC, а потім витягнув ліквідність з різних частин системи в межах однієї транзакції. Маніпуляції призвели до надлишкового балансу, який було обміняно через біржу Curve.

Після повернення флешпозики контракт обміняв отриманий надлишок USDC на DAI і відправив понад $6 млн на адресу нападника. CertiK оцінює загальний прибуток атакуючого близько $6 млн після погашення позики. Контракт, що реалізував експлойт, наразі не верифіковано, тому точні технічні кроки ще встановлюються.

Наразі PeckShieldAlert, Blockaid і CertiK відстежують потоки коштів і публікують попередні висновки. Розробники Summer.fi та технічна спільнота аналізують транзакції й логи контрактів, щоб з’ясувати повну послідовність дій та оцінити можливості відновлення коштів.

Флешпозики — це короткострокові кредити без застави, які треба повернути в тій самій транзакції. У легітимних операціях їх використовують для арбітражу або рефінансування, але в цьому випадку флешпозику використали для створення тимчасових розбіжностей у підрахунку балансів усередині контрактів.

Компоненти протоколу, згадані в аналізі, — Lazy Summer, VaultV2 і LVUSDC — відповідають за прийом депозитів, випуск внутрішніх токенів і управління ліквідністю. Після верифікації контрактів і детальнішого технічного розбору розробники та аудитори зможуть надати остаточні висновки про природу вразливості та необхідні виправлення.

Матеріали на GNcrypto надаються виключно з інформаційною метою і не є фінансовою порадою. Ми намагаємось забезпечувати точність та актуальність даних, однак не можемо гарантувати їхню повну достовірність чи надійність. GNcrypto не несе відповідальності за можливі помилки, упущення або фінансові збитки, що можуть виникнути внаслідок використання цієї інформації. Усі дії ви здійснюєте на власний ризик. Завжди проводьте власне дослідження та звертайтесь до фахівців. Детальніше дивіться на наших сторiнках Умови, Політика конфіденційності та Дисклеймер.

Статті цього автора