Протокол Summer.fi втратив $6 млн в атаці з флеш-позикою

2 хв. читання

Що сталося

Уранці 6 липня 2026 року DeFi-протокол Summer.fi (раніше відомий як Summer Finance) втратив близько 6 млн доларів унаслідок експлойту. Атаку зафіксували одразу кілька блокчейн-охоронних фірм — Blockaid, Cyvers і CertiK. Постраждав Lazy Summer Protocol — автоматичний yield-продукт платформи, який сам розподіляє депозити користувачів по сховищах (vault) у пошуках дохідності.

Деталі

За даними CertiK, зловмисник маніпулював обліком активів: підміняв значення totalAssets() у компонента FleetCommander одразу в кількох сховищах, штучно завищуючи вартість своєї частки.

  • Для атаки взяли флеш-позику на 65,4 млн доларів — миттєву незабезпечену позику, яку беруть і повертають у межах однієї транзакції.
  • На спотвореному обліку зловмисник оформив редемпшн (погашення) на 70,9 млн доларів, забравши різницю.
  • Конкретною ціллю стало сховище Silo: Varlamore USDC Growth.
  • Виведені ~6 млн доларів обміняли на стейблкоїн DAI й перевели на адресу зловмисника.

На момент публікації команда Summer.fi офіційно не підтвердила інцидент і не повідомила про компенсації. Точна першопричина на 6 липня залишалася нерозкритою — історія розвивається.

Що це означає

Найперше це стосується вкладників Summer.fi та Lazy Summer Protocol: під питанням доля коштів у зачеплених сховищах, а до заяви команди незрозуміло, чи буде покриття втрат. Ширше — це стосується будь-кого, хто тримає гроші в yield-протоколах з автоматичною алокацією.

Вектор тут типовий і повторюваний: флеш-позика плюс маніпуляція внутрішнім обліком часток. Масштаб — 6 млн доларів виведено з одного продукту за одну транзакцію, і це не разова екзотика, а системний ризик протоколів, які рахують вартість частки «на льоту». Практичний висновок на сьогодні: поки немає офіційного розбору й патча, тримати великі суми в зачеплених сховищах ризиковано. Базова гігієна — не апрувити безлімітні дозволи токенів, відкликати старі дозволи й не заходити в протокол під час активного інциденту.

Контекст

Експлойт лягає на загальний спад у DeFi — сегмент і без того стискається за обсягом заблокованих коштів, про що ми писали в розборі падіння TVL DeFi. Кожна велика атака пришвидшує відтік ліквідності з подібних протоколів.

Поділитися
Зв'язатися:
Крипто- та data-аналітик, інженер-програміст (факультет комп'ютерних наук ХНУРЕ). В IT з 2008 року: адміністрував корпоративний моніторинг у «Vodafone Україна», сім років розробляв і просував веб-проєкти, п'ять років керував маркетингом на метриках — конверсія, CTR, ROI, LTV.Криптовалютними ринками займаюся з 2021 року: ончейн-метрики, токеноміка, макроекономічні індикатори. Розробив власну data-driven модель аналізу ринку на 30+ метрик. Стек — Python (pandas, NumPy, SciPy, matplotlib), математична статистика та EDA; збір і звірку даних автоматизую AI-агентами.Принцип — «Don't trust, verify»: кожна цифра перевірена за першоджерелом, ключові — щонайменше за двома незалежними; прогнози — лише сценарії з умовами. Теза без даних не публікується.