重點摘要:
- Summer.fi 在其 Lazy Summer 金庫因閃電貸攻擊損失約 600 萬美元。
- 攻擊者利用一筆 6540 萬美元的 Morpho 閃電貸操縱金庫份額會計機制。
- 事件揭露後,該協議的 SUMR 代幣下跌逾 18%。
重點摘要:

去中心化金融協議 Summer.fi 因攻擊者利用其以太坊上的 Lazy Summer 自動化收益金庫中的閃電貸漏洞,損失約 600 萬美元,促使協議守護者暫停所有受影響的金庫。
該漏洞於週一早些時候由區塊鏈安全公司 Blockaid 首次標記,隨後 CertiK 與 PeckShield 也確認了此次攻擊。CertiK 表示,攻擊者利用一筆來自 Morpho 的 6540 萬美元閃電貸,操縱管理金庫運作的智能合約 FleetCommander 的會計邏輯,從而在單一原子交易中虛增總資產並贖回 7090 萬美元。
CertiK 在 X 平台上寫道:「攻擊者操縱了 FleetCommander 在數個金庫中對 totalAssets 的會計計算,尤其是 Silo: Varlamore USDC Growth 金庫,攻擊者事先累積了該金庫資產,並在中間過程中將其捐贈給 Ark。」此次攻擊針對名為 LazyVault_LowerRisk_USDC 的 ERC-4626 代幣化金庫,利用已知的透過代幣捐贈進行份額通膨的漏洞。被盜資金在 Curve 上兌換為 DAI,並轉移至攻擊者的錢包,鏈上身分標記為 0x7BF…3BDCa。
Summer.fi 證實了此事件,並表示協議守護者已暫停受影響金庫以防止進一步損失。根據 DefiLlama 數據,該協議在攻擊前鎖定的總價值為 2200 萬美元。事件揭露後,其 SUMR 治理代幣下跌逾 18%。此次事件加劇了針對 DeFi 收益聚合器的閃電貸攻擊趨勢,這類攻擊中,在 Aave 和 Morpho 等借貸市場之間的自動化再平衡造成了複雜的會計表面,這些表面可在單一交易區塊內被扭曲。
本文僅供資訊參考,不構成投資建議。