Summer.fi révèle des préparatifs de plusieurs mois derrière une attaque DeFi de 6 millions de dollars

ambcryptoPublié le 2026-07-07Dernière mise à jour le 2026-07-07

Résumé

Summer.fi a publié un post-mortem détaillé sur l'exploit de 6,04 millions de dollars qui a drainé deux de ses coffres USDC du Lazy Summer Protocol. L'analyse conclut que l'attaque, planifiée sur plusieurs mois, n'était pas un simple emprunt flash opportuniste. L'attaquant a accumulé des actifs pendant environ trois mois pour manipuler la valeur nette d'inventaire (NAV) de deux coffres. La cause racine était un problème opérationnel lors de la désactivation d'une ancienne stratégie, et non un bogue dans les contrats intelligents. Un "Ark" (un type de stratégie) dont le plafond de dépôt avait été fixé à zéro est resté inclus dans le calcul de la NAV. En y injectant des jetons de coffre Silo surévalués, l'attaquant a artificiellement gonflé la valeur des parts, lui permettant de retirer 6,04 millions d'USDC. Summer.fi précise que l'exploit n'est pas dû à des clés privées compromises, à des privilèges administratifs ou à une faille de code. Tous les coffres du protocole sont actuellement suspendus. La gouvernance doit maintenant décider des mesures à prendre, notamment une éventuelle compensation pour les utilisateurs et les conditions de reprise des activités pour les marchés non affectés.

Summer.fi a publié un rapport détaillé d'analyse post-mortem sur l'attaque de 6,04 millions de dollars qui a drainé deux de ses coffres-forts USDC du protocole Lazy Summer. Il conclut que l'attaque a été planifiée plusieurs mois à l'avance plutôt que d'être une exploitation opportuniste par flash loan.

Le rapport indique que l'attaquant a passé environ trois mois à accumuler les actifs nécessaires pour manipuler le protocole. L'exploit a été exécuté en une seule transaction atomique le 6 juillet.

Il affirme également que la cause profonde était un problème opérationnel lors de la désactivation d'une ancienne stratégie, et non une faille dans les contrats intelligents du protocole.

L'attaque a exploité un processus de désactivation incomplet

Selon l'analyse post-mortem, l'attaquant a manipulé la valeur nette d'actif [NAV] de deux coffres-forts USDC. Des jetons de coffre-fort Silo à valeur obsolète ont été versés dans une Arche dont le plafond de dépôt avait été fixé à zéro lors d'un processus de désactivation. Cependant, cette Arche restait incluse dans les calculs de la NAV du coffre-fort.

Cela a artificiellement gonflé le prix des parts du coffre-fort, permettant à l'attaquant de racheter ses parts à une valeur surévaluée. L'attaquant a ensuite retiré environ 6,04 millions de dollars en USDC des positions liquides du protocole.

Les pertes se répartissent entre le coffre-fort USDC à risque modéré, qui a perdu environ 5,64 millions de dollars, et le coffre-fort USDC à risque élevé, qui a perdu environ 400 000 dollars.

Summer.fi a souligné que l'exploit n'a pas été causé par des clés privées compromises, des privilèges administratifs ou un bug de code. Au contraire, l'entreprise a déclaré que les contrats affectés se sont comportés comme prévu.

Néanmoins, une Arche défectueuse est restée active dans la comptabilité du coffre-fort après que son plafond de dépôt a été fixé à zéro.

La préparation a commencé des mois avant l'exploit

Le rapport remet également en question le récit initial selon lequel l'exploit était simplement une attaque par flash loan.

Summer.fi a déclaré que les preuves sur la blockchain indiquent que l'attaquant a financé plusieurs portefeuilles environ trois mois avant l'incident. L'attaquant a ensuite progressivement accumulé des jetons de coffre-fort Silo à valeur obsolète, qui ont ensuite été utilisés pour gonfler la NAV des coffres-forts.

Les flash loans ont principalement fourni une liquidité temporaire pour la transaction finale plutôt que de créer la vulnérabilité elle-même.

Le protocole a également commenté une capture d'écran largement partagée montrant un taux de pourcentage annuel d'environ 2,08 millions %. Il explique que ce chiffre résultait d'un pic sur un seul bloc de la NAV déclarée du coffre-fort et ne représentait pas les rendements réels des investissements.

Le protocole est en pause alors que la gouvernance pèse les prochaines étapes

Suite à l'exploit, tous les coffres-forts du protocole Lazy Summer ont été mis en pause, et les plafonds de dépôt ont été réduits à zéro pendant l'enquête sur l'incident.

Le rapport a indiqué que la gouvernance doit maintenant décider comment gérer les coffres-forts affectés, s'il faut indemniser les utilisateurs, et quand les coffres-forts non affectés pourront reprendre leurs activités en toute sécurité.


Résumé final

  • Summer.fi a déclaré que l'attaque de 6,04 millions de dollars a été planifiée sur plusieurs mois et découle d'un processus de désactivation de coffre-fort incomplet.
  • Le protocole a mis en pause tous les coffres-forts tandis que la gouvernance examine l'indemnisation, la remédiation et la réouverture sécurisée des marchés non affectés.

Questions liées

QQuelle est la cause principale de l'exploit de 6,04 millions de dollars sur Summer.fi selon l'enquête post-mortem ?

ALa cause principale était un problème opérationnel lors du désengagement d'une ancienne stratégie, spécifiquement le maintien actif d'une Arche dans les calculs de la valeur nette d'inventaire (NAV) d'un coffre-fort après que son plafond de dépôt avait été fixé à zéro.

QComment l'attaquant a-t-il artificiellement gonflé la valeur des parts des coffres-forts USDC ?

AL'attaquant a fait don de jetons de coffre-fort Silo à valeur obsolète dans une Arche qui avait été plafonnée lors d'un processus de désengagement. Cette Arche étant toujours incluse dans les calculs de la NAV du coffre-fort, cela a artificiellement gonflé le prix des parts, permettant à l'attaquant de les racheter à une valeur surévaluée.

QQuelle était la préparation de l'attaquant avant l'exploit du 6 juillet ?

AL'attaquant a préparé l'exploit sur environ trois mois en finançant plusieurs portefeuilles et en accumulant progressivement des jetons de coffre-fort Silo à valeur obsolète, qui ont ensuite été utilisés pour manipuler la NAV des coffres-forts.

QQuel a été l'impact financier sur les deux coffres-forts USDC du Lazy Summer Protocol ?

ALe coffre-fort USDC à risque plus faible a perdu environ 5,64 millions de dollars, et le coffre-fort USDC à risque plus élevé a perdu environ 400 000 dollars, pour un total de 6,04 millions de dollars.

QQuelles actions Summer.fi a-t-il prises immédiatement après l'exploit ?

ASummer.fi a immédiatement suspendu tous les coffres-forts du Lazy Summer Protocol et a réduit leurs plafonds de dépôt à zéro en attendant l'enquête. La gouvernance doit maintenant décider des mesures à prendre, y compris une éventuelle compensation pour les utilisateurs.

Lectures associées

Les stablecoins établissent un record de règlement de 1,79 billion de dollars – Le marché a-t-il atteint son creux ?

Le narratif des stablecoins évolue d'un moteur de liquidité vers un cadre d'utilité pratique, avec une intégration croissante dans les paiements transfrontaliers et les réseaux de règlement mondiaux. Les données de juin confirment cette tendance : le volume ajusté des transactions en stablecoins a atteint un record de 1 790 milliards de dollars, en hausse de 63% par rapport à mai. Cela souligne une demande accrue pour les stablecoins comme couche de règlement, et non plus seulement comme mécanisme de liquidité. Cette transition renforce l'importance stratégique des réseaux de Layer 1. Par exemple, Toncoin (TON) connaît une forte dynamique, avec l'offre de son stablecoin natif augmentant de 8% la semaine dernière. Cependant, une divergence critique émerge. Malgré le volume record des transactions, la capitalisation boursière combinée de l'USDT et de l'USDC a chuté de près de 11 milliards de dollars sur deux mois, signalant une contraction de la liquidité. Cette baisse contraste avec l'activité transactionnelle élevée, marquant le plus grand flux sortant mensuel depuis janvier. Dans un contexte macroéconomique où l'indice du dollar américain (DXY) se renforce, l'utilité des stablecoins pourrait rester solide. Néanmoins, si l'écart entre l'utilisation croissante et la liquidité décroissante persiste, cela pourrait devenir un facteur baissier pour le marché crypto au second semestre.

ambcryptoIl y a 4 h

Les stablecoins établissent un record de règlement de 1,79 billion de dollars – Le marché a-t-il atteint son creux ?

ambcryptoIl y a 4 h

Trading

Spot
活动图片