Протокол Summer.fi потерял $6 млн в атаке с флеш-займом

2 мин. чтения
Bybit
$30,100 + $5,030
100 USDT в подарок
Получить →

Что произошло

Утром 6 июля 2026 года DeFi-протокол Summer.fi (ранее известный как Summer Finance) потерял около 6 млн долларов в результате эксплойта. Атаку зафиксировали сразу несколько блокчейн-охранных фирм — Blockaid, Cyvers и CertiK. Пострадал Lazy Summer Protocol — автоматический yield-продукт платформы, который сам распределяет депозиты пользователей по хранилищам (vault) в поисках доходности.

Детали

По данным CertiK, атакующий манипулировал учётом активов: подменял значение totalAssets() у компонента FleetCommander сразу в нескольких хранилищах, искусственно завышая стоимость своей доли.

  • Для атаки был взят флеш-займ на 65,4 млн долларов — мгновенный необеспеченный заём, который берётся и возвращается внутри одной транзакции.
  • На искажённом учёте атакующий оформил редемпшн (погашение) на 70,9 млн долларов, забрав разницу.
  • Конкретной целью стало хранилище Silo: Varlamore USDC Growth.
  • Выведенные ~6 млн долларов были обменяны на стейблкоин DAI и переведены на адрес злоумышленника.

На момент публикации команда Summer.fi официально не подтвердила инцидент и не сообщила о компенсациях. Точная первопричина (какой именно контракт допустил подмену учёта) на 6 июля оставалась не раскрытой — история развивается.

Что это значит

Напрямую это касается вкладчиков Summer.fi и Lazy Summer Protocol: под вопросом судьба средств в затронутых хранилищах, а до заявления команды неясно, будет ли покрытие потерь. Шире — это касается любого, кто держит деньги в yield-протоколах с автоматической аллокацией.

Вектор здесь типовой и повторяемый: флеш-займ плюс манипуляция внутренним учётом долей. Масштаб — 6 млн долларов выведено из одного продукта за одну транзакцию, и это не разовая экзотика, а системный риск протоколов, которые считают стоимость доли «на лету». Практический вывод на сегодня: пока нет официального разбора и патча, держать крупные суммы в затронутых хранилищах рискованно. Базовая гигиена — не аппрувить неограниченные лимиты токенов, отзывать старые разрешения и не заходить в протокол во время активного инцидента.

Контекст

Эксплойт ложится на общий спад в DeFi — сегмент и без того сжимается по объёму заблокированных средств, о чём мы писали в разборе падения TVL DeFi. Каждая крупная атака ускоряет отток ликвидности из подобных протоколов.

Bybit
SpaceX за крипту
Дробные доли · 24/7
Открыть рынок →
ИСТОЧНИКИ:The BlockCertiK
Поделиться
Связаться:
Крипто- и data-аналитик, инженер-программист (факультет компьютерных наук ХНУРЭ). В IT с 2008 года: администрировал корпоративный мониторинг в «Vodafone Украина», семь лет разрабатывал и продвигал веб-проекты, пять лет руководил маркетингом на метриках — конверсия, CTR, ROI, LTV.Криптовалютными рынками занимаюсь с 2021 года: ончейн-метрики, токеномика, макроэкономические индикаторы. Разработал собственную data-driven модель анализа рынка на 30+ метрик. Стек — Python (pandas, NumPy, SciPy, matplotlib), математическая статистика и EDA; сбор и сверку данных автоматизирую AI-агентами.Принцип — «Don't trust, verify»: каждая цифра проверена по первоисточнику, ключевые — минимум по двум независимым; прогнозы — только сценарии с условиями. Тезис без данных не публикуется.