- Протокол Summer.fi зазнав експлойту, внаслідок якого зловмисник викрав близько $6 млн
- Атака не пов’язана з компрометацією приватних ключів чи адміністративних прав — хакер скористався вразливістю в логіці облікових механізмів протоколу.
- Для злому використано флешпозику на $65,4 млн у USDC та USDT, яку повернули в межах однієї транзакції.
DeFi-протокол Summer.fi зазнав атаки. Про це повідомили компанії PeckShieldAlert, Blockaid та CertiK. За даними на момент публікації, зловмисник викрав близько $6 млн у DAI.
Як відбулася атака?
Попередній аналіз засновника Phylax Systems Одіссеаса Ламтзидіса свідчить, що причиною стала маніпуляція обліковими механізмами протоколу — а не злом приватних ключів чи адміністративних прав.
Схема атаки виглядала так. Спочатку зловмисник узяв флешпозику — короткострокову позику, яку потрібно повернути в межах однієї транзакції. Сума становила $65,4 млн: 65,419 млн USDC та 1 млн USDT. Флешпозики часто використовують у легітимних DeFi-операціях, однак у даному випадку їх застосували зі зловмисною метою.
Отримавши кошти, хакер скористався відкритими механізмами протоколу Lazy Summer та VaultV2: вніс депозит, погасив токени, вивів кошти з різних компонентів системи. Маніпулюючи тим, як протокол рахує баланси та доступну ліквідність усередині однієї транзакції, зловмисник зміг випустити та погасити токени LVUSDC на вигідних для себе умовах.
Після повернення флешпозики контракт обміняв отриманий надлишок USDC через біржу Curve та відправив понад 6 млн DAI на адресу зловмисника.
За даними CertiK, загальний прибуток атакуючого склав близько $6 млн при використанні флешпозики на близько $65,4 млн. Контракт експлойту не верифікований, тому точна логіка атаки поки що невідома.
Загроза для DeFi: крипторинок накрила хвиля з понад 200 хакерських атак за пів року — звіт 04.07.2026 Читати
Сообщение DeFi-протокол Summer.fi зазнав атаки — хакер викрав $6 млн появились сначала на INCRYPTED.







