Что произошло
Утром 6 июля 2026 года DeFi-протокол Summer.fi (ранее известный как Summer Finance) потерял около 6 млн долларов в результате эксплойта. Атаку зафиксировали сразу несколько блокчейн-охранных фирм — Blockaid, Cyvers и CertiK. Пострадал Lazy Summer Protocol — автоматический yield-продукт платформы, который сам распределяет депозиты пользователей по хранилищам (vault) в поисках доходности.
Детали
По данным CertiK, атакующий манипулировал учётом активов: подменял значение totalAssets() у компонента FleetCommander сразу в нескольких хранилищах, искусственно завышая стоимость своей доли.
- Для атаки был взят флеш-займ на 65,4 млн долларов — мгновенный необеспеченный заём, который берётся и возвращается внутри одной транзакции.
- На искажённом учёте атакующий оформил редемпшн (погашение) на 70,9 млн долларов, забрав разницу.
- Конкретной целью стало хранилище Silo: Varlamore USDC Growth.
- Выведенные ~6 млн долларов были обменяны на стейблкоин DAI и переведены на адрес злоумышленника.
На момент публикации команда Summer.fi официально не подтвердила инцидент и не сообщила о компенсациях. Точная первопричина (какой именно контракт допустил подмену учёта) на 6 июля оставалась не раскрытой — история развивается.
Что это значит
Напрямую это касается вкладчиков Summer.fi и Lazy Summer Protocol: под вопросом судьба средств в затронутых хранилищах, а до заявления команды неясно, будет ли покрытие потерь. Шире — это касается любого, кто держит деньги в yield-протоколах с автоматической аллокацией.
Вектор здесь типовой и повторяемый: флеш-займ плюс манипуляция внутренним учётом долей. Масштаб — 6 млн долларов выведено из одного продукта за одну транзакцию, и это не разовая экзотика, а системный риск протоколов, которые считают стоимость доли «на лету». Практический вывод на сегодня: пока нет официального разбора и патча, держать крупные суммы в затронутых хранилищах рискованно. Базовая гигиена — не аппрувить неограниченные лимиты токенов, отзывать старые разрешения и не заходить в протокол во время активного инцидента.
Контекст
Эксплойт ложится на общий спад в DeFi — сегмент и без того сжимается по объёму заблокированных средств, о чём мы писали в разборе падения TVL DeFi. Каждая крупная атака ускоряет отток ликвидности из подобных протоколов.



