黑客利用 Summer.fi Lazy Summertrac漏洞,盜取 600 萬美元。
據鏈上安全公司 Blockaid 和 PeckShieldAlert 稱,7 月 6 日,攻擊者利用 USDC 金庫的漏洞,從Summer.fi的 Lazy Summer 協議中竊取了約 600 萬美元 ,該金庫的廣告收益率一度飆升至 200 萬% 以上。
Blockaid 在 X 上發文 稱,其漏洞檢測系統dent在漏洞利用進行時就已識別出該漏洞
該安全公司當時表示,在交易仍在進行期間,已有約 600 萬美元“被盜走”。.
Blockaid 隨後發佈的帖子公佈了漏洞利用交易、攻擊者的錢包、漏洞利用trac以及受影響的 Lazy Summertrac列表。.
目標是 PeckShieldAlertdent出的單個金庫 LazyVault_LowerRisk_USDC,股票代碼 LVUSDC,這是 BlockAnalitica 公司進行風險管理的策略。.
據 PeckShieldAlert,“LVUSDC 的顯示年化收益率短暫飆升至約 208 萬%”,並補充說,漏洞利用後金庫的最大持有者“似乎與 Torben Jorgensen 有關”。
Summer.fi攻擊是如何發生的?
據 BlockTempo報道,攻擊者在 05:17 對 ERC-4626 金庫發起了基於捐贈的通貨膨脹攻擊。該報道援引了 Blockaid 的計時結果。
ERC-4626 標準是發行股票並存入代幣的金庫的默認接口,它根據持有的資產與流通股的比率來計算股票價格。.
如果攻擊者直接向金庫捐贈少量代幣,理論上他們可以扭曲該比例,將單股價格推高到遠高於其公允價值,然後贖回的金額將超過他們投入的金額。.
BlockTempo 報道稱,此次行動的資金來源是來自 Morpho 的閃電貸,即在一筆交易中借入並償還的貸款,交易通過 Uniswap、Curve 和 Balancer 進行。.
該漏洞對Summer.fi有什麼影響?
從加密貨幣領域最大數據泄露事件的標準來看,被利用的數字並不算大,但相對於 Summer.fi的規模而言,這個數字卻很大。
該協議的總鎖定價值約爲 3480 萬美元,其中大部分(超過 3240 萬美元)鎖定在 Ethereum根據 Defillama 的數據。此次 600 萬美元的資金流失接近該平臺資產的五分之一,數額巨大。
Summer.fi 將自己定位爲收益聚合器,允許用戶在不同的借貸場所“借貸、倍增和賺取收益”,Lazy Summer 金庫會將存款路由到基於 Morpho 等協議構建的策略中。
2026年第二季度發生的dent 數量創歷史新高,超過83起獨立攻擊。該季度以大量小規模攻擊爲特徵,股價操縱、會計操縱、橋接漏洞利用和管理員密鑰竊取等攻擊手段屢見不鮮。攻擊
Summer.fi 已確認此次攻擊,並在 X 上發文稱:“我們今天早些時候已注意到有關漏洞利用的報告,目前正在調查根本原因。協議守護者目前正在暫停 Lazy Summer 協議中的所有 Vault。”
團隊表示,如有最新消息,他們將及時發佈。.
如果你正在閱讀這篇文章,你已經領先一步了。 訂閱我們的新聞簡報,繼續保持領先優勢。








