Що сталося
Уранці 6 липня 2026 року DeFi-протокол Summer.fi (раніше відомий як Summer Finance) втратив близько 6 млн доларів унаслідок експлойту. Атаку зафіксували одразу кілька блокчейн-охоронних фірм — Blockaid, Cyvers і CertiK. Постраждав Lazy Summer Protocol — автоматичний yield-продукт платформи, який сам розподіляє депозити користувачів по сховищах (vault) у пошуках дохідності.
Деталі
За даними CertiK, зловмисник маніпулював обліком активів: підміняв значення totalAssets() у компонента FleetCommander одразу в кількох сховищах, штучно завищуючи вартість своєї частки.
- Для атаки взяли флеш-позику на 65,4 млн доларів — миттєву незабезпечену позику, яку беруть і повертають у межах однієї транзакції.
- На спотвореному обліку зловмисник оформив редемпшн (погашення) на 70,9 млн доларів, забравши різницю.
- Конкретною ціллю стало сховище Silo: Varlamore USDC Growth.
- Виведені ~6 млн доларів обміняли на стейблкоїн DAI й перевели на адресу зловмисника.
На момент публікації команда Summer.fi офіційно не підтвердила інцидент і не повідомила про компенсації. Точна першопричина на 6 липня залишалася нерозкритою — історія розвивається.
Що це означає
Найперше це стосується вкладників Summer.fi та Lazy Summer Protocol: під питанням доля коштів у зачеплених сховищах, а до заяви команди незрозуміло, чи буде покриття втрат. Ширше — це стосується будь-кого, хто тримає гроші в yield-протоколах з автоматичною алокацією.
Вектор тут типовий і повторюваний: флеш-позика плюс маніпуляція внутрішнім обліком часток. Масштаб — 6 млн доларів виведено з одного продукту за одну транзакцію, і це не разова екзотика, а системний ризик протоколів, які рахують вартість частки «на льоту». Практичний висновок на сьогодні: поки немає офіційного розбору й патча, тримати великі суми в зачеплених сховищах ризиковано. Базова гігієна — не апрувити безлімітні дозволи токенів, відкликати старі дозволи й не заходити в протокол під час активного інциденту.
Контекст
Експлойт лягає на загальний спад у DeFi — сегмент і без того стискається за обсягом заблокованих коштів, про що ми писали в розборі падіння TVL DeFi. Кожна велика атака пришвидшує відтік ліквідності з подібних протоколів.
