Summer.fi披露:一起耗资600万美元的DeFi攻击背后是长达数月的精心策划

ambcrypto發佈於 2026-07-07更新於 2026-07-07

文章摘要

Summer.fi发布了一份关于其Lazy Summer Protocol两个USDC金库遭600万美元漏洞利用的详细事后分析。报告指出,此次攻击并非偶发的闪电贷漏洞,而是攻击者精心策划数月的结果。 攻击发生于7月6日,根源在于一个旧策略的退役过程存在操作问题,而非智能合约代码缺陷。攻击者通过向一个已设存款上限为零、但在净资产值计算中仍被包含的Ark中,存入价值过时的Silo金库代币,人为抬高了金库的份额价格,从而以虚高价值赎回份额,最终从协议的流动头寸中提取了约604万美元的USDC。其中,低风险USDC金库损失约564万美元,高风险USDC金库损失约40万美元。 链上证据显示,攻击者在大约三个月前就开始资助多个钱包并逐步积累过时代币,为攻击做准备。闪电贷主要用于为最终交易提供临时流动性,并未创造漏洞本身。 事件发生后,所有Lazy Summer Protocol金库均已暂停,存款上限降至零。目前协议治理层正在研究如何处理受影响的金库、是否补偿用户以及何时安全重启未受影响的业务。

Summer.fi发布了一份关于耗资604万美元的攻击事件的详细事后分析报告,该攻击耗尽了其两个"慵懒夏日协议"USDC金库的资金。报告结论是,这次攻击是提前数月策划的,而非一次机会主义的闪电贷漏洞利用。

报告称,攻击者花费了大约三个月时间来积累操纵协议所需的资产。漏洞利用于7月6日在一个单一的原子交易中执行。

报告还指出,根本原因是在淘汰一个旧策略过程中的操作问题,而非协议智能合约本身的缺陷。

攻击利用了未完成的淘汰流程

根据事后分析,攻击者操纵了两个USDC金库的资产净值[NAV]。在淘汰过程中,价值过时的Silo金库代币被捐赠给了一个已被封顶的"方舟"。然而,该"方舟"仍被计入金库的NAV计算中。

这人为地抬高了金库的份额价格,使得攻击者能够以虚高的价值赎回份额。随后,攻击者从协议的流动性头寸中提取了大约604万美元的USDC

损失分布在"低风险USDC金库"(损失约564万美元)"高风险USDC金库"(损失约40万美元)之间。

Summer.fi强调,该漏洞利用并非由私钥泄露、管理权限滥用或代码错误引起。相反,它表示受影响的合约是按设计运行的。

尽管如此,在一个"方舟"的存款上限被设置为零之后,这个功能受损的"方舟"仍然在金库的会计核算中保持活跃。

准备工作在漏洞利用前数月即已开始

该报告也对早期认为这只是一次简单的闪电贷攻击的说法提出了挑战。

Summer.fi表示,链上证据表明攻击者在事发前大约三个月为多个钱包提供了资金。随后,攻击者逐渐积累了价值过时的Silo金库代币,这些代币后来被用来虚增金库的NAV。

闪电贷主要是为最终的交易提供临时流动性,而非创造了漏洞本身。

协议还就一张广泛流传的截图进行了解释,该截图显示年化收益率大约为208万%。报告阐明,该数字是由于金库报告的NAV在一个区块内出现峰值所致,并不代表实际的投资回报。

协议已暂停,治理层权衡后续步骤

漏洞利用发生后,所有"慵懒夏日协议"金库均已暂停,存款上限也降至零,同时对此事件进行调查。

报告称,治理层现在必须决定如何处理受影响的金库,是否补偿用户,以及未受影响的市场的安全恢复运营时间。


最终总结

  • Summer.fi表示,这起604万美元的攻击事件是经过数月策划的,源于金库淘汰流程未彻底完成。
  • 协议已暂停所有金库,同时治理层正在考虑赔偿、补救措施以及安全重启未受影响的市场。

相關問答

QSummer.fi报告中提到的600万美元漏洞攻击的根本原因是什么?

A报告中指出,漏洞的根本原因是旧策略下线过程中的操作问题,而非协议智能合约的代码缺陷。具体来说,是由于一个已经设置了存款上限为零的Ark(可能指特定策略或合约)在资产净值计算中仍被包含,导致攻击者能够通过捐赠估值过时的Silo金库代币来人为抬高金库的份额价格。

Q攻击者是如何实施这次漏洞利用的?

A攻击者通过向一个在下线过程中已被设定存款上限(设为零)但仍在资产净值计算中的Ark,捐赠估值过时的Silo金库代币,从而人为地抬高两个USDC金库的资产净值。这使得攻击者能够以虚高的价格赎回份额,并最终从协议的流动头寸中提取了约604万美元的USDC。

Q这次攻击是常见的闪贷攻击吗?Summer.fi的报告对此有何不同看法?

A报告对此有不同看法。它指出攻击并非一次简单的机会主义闪贷攻击,而是攻击者提前数月进行准备的结果。闪贷主要是为最终交易提供了临时流动性,而非制造了漏洞本身。攻击者在事发前约三个月资助了多个钱包,并逐步积累了估值过时的Silo金库代币,用于在攻击日抬高金库资产净值。

Q漏洞事件发生后,Summer.fi采取了哪些紧急措施?

A漏洞发生后,Summer.fi暂停了所有Lazy Summer Protocol金库的运作,并将存款上限降低至零,以便进行调查。同时,协议治理层正在研究如何处理受影响的金库、是否对用户进行补偿,以及何时可以安全地恢复未受影响市场的运营。

Q攻击造成的具体损失在报告中是如何分配的?

A报告显示,总损失约为604万美元的USDC。其中,较低风险的USDC金库损失了约564万美元,而较高风险的USDC金库损失了约40万美元。损失是从协议的流动头寸中被提取的。

你可能也喜歡

稳定币结算额创下1.79万亿美元历史新高——市场底部是否已现?

稳定币叙事正从流动性引擎转向实用框架。随着采用成熟,稳定币日益融入跨境支付、机构转账、DeFi应用和全天候全球结算网络,重点从链上流动性供给转向现实世界的金融效用。 6月数据显示了这一转变:调整后的稳定币交易量达到创纪录的1.79万亿美元,环比增长63%,同比增长125%。这表明稳定币正更多地被用作结算层,而不仅是加密市场内部的流动性工具。这一转变提升了Layer 1网络的战略重要性,例如Toncoin(TON)的稳定币供应在过去一周增长8%至超8.1亿美元,凸显了各网络争夺稳定币采用率的竞争。 然而,市场层面出现分化:6月稳定币交易量飙升的同时,市场整体下跌超18%,创下自2月以来最大月度资本流出。稳定币市场总市值下降超2%,出现近80亿美元的资金外流,尤其是USDT和USDC的合计市值在过去两个月缩水近110亿美元,表明使用量增加与流动性收缩并存。 从宏观角度看,美元指数(DXY)走强,6月上涨超2.25%,美元资产需求保持高位可能继续支撑稳定币的实用性。但若使用量与流动性的背离持续,可能成为下半年加密市场的关键看跌因素。 **核心要点**: * 稳定币活动增加,但USDT和USDC市值下降预示流动性减弱。 * 美元走强支撑需求,但流动性降低可能给加密市场带来风险。

ambcrypto2 小時前

稳定币结算额创下1.79万亿美元历史新高——市场底部是否已现?

ambcrypto2 小時前

交易

現貨
活动图片