
DeFi 借贷协议Summer.fi(Summer Finance)7 月6 日疑似遭遇flash loan 攻击,攻击者以约$6,540 万美元的闪电贷金额操纵流动性、获利约$600 万美元。区块链安全公司CertiK与Blockaid稍早分别在X 上发出可疑交易警讯,指出Summer.fi 贷款金库(vault)遭到$600 万美元规模流失;Summer.fi 团队随后紧急暂停所有金库,但截稿前尚未发布完整技术后检报告。
CertiK 与Blockaid 分别侦测、Flash loan 规模达$6,540 万美元
CertiK 于X 上表示:「我们侦测到一笔涉及@summerfinance_ 的可疑交易,发送方使用约$6,540 万美元flash loan 操纵流动性、获利约$600 万美元」。 Blockaid 则在几乎同一时间贴文标记Summer.fi,写「目前已流失约$600 万美元」。根据Blockchain.News 交易追踪,实际被抽走的资产为6.017 M DAI。攻击在链上完成后,Summer.fi 的协议guardian 在数小时内把所有vault 全数暂停,避免进一步损失。
攻击机制:flash loan 灌入Silo Varlamore vault,操纵totalAssets 帐面
根据The Block 7 月6 日报导整理的链上分析,这次攻击瞄准Summer.fi 上「Silo: VarlamoreUSDC▲Growth」金库。攻击者先向该金库累积部位,再把资产「捐赠」(donate)到协议中的Ark 合约,借此扭曲FleetCommander 对totalAssets() 的帐面计算。接着攻击者存入$6,480 万美元、赎回$7,090 万美元,净获利即为两者差额约$600 万美元。整个流程都在单笔flash loan 内完成,攻击者不需事先锁仓任何资本。
Summer.fi 团队回应:所有vault 暂停、根因与后检报告仍待公布
Summer.fi 的guardian 机制在CertiK 与Blockaid 警讯发出后启动,把所有金库进入暂停状态,用户暂时无法存取相关资产。 crypto.news 7 月6 日07:27 UTC 更新指出,Summer.fi 官方频道尚未发布完整声明,仅回应「事件仍在调查中」;技术根因、资产可回收比例、以及是否为FleetCommander 逻辑缺陷或帐户隔离设计问题,都须等官方后检报告厘清。这次事件也是2026 上半年flash loan 操纵攻击系列(SOF、LAXO、ATM 等BNB▼Chain 代币)之后,第一次扩大到主流DeFi 借贷协议。
本文链接地址:https://www.wwsww.cn/hqfx/39824.html
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。


