主なポイント:
- Summer.fiはLazy Summerボールトでのフラッシュローン攻撃により約600万ドルを損失。
- 攻撃者は6,540万ドルのMorphoフラッシュローンを利用し、ボールトのシェア会計を操作。
- 攻撃開示後、プロトコルのSUMRトークンは18%以上下落。
主なポイント:

分散型金融(DeFi)プロトコルSummer.fiは、イーサリアム上の自動利回りボールト「Lazy Summer」において、フラッシュローン脆弱性を悪用した攻撃者により約600万ドルの損失が発生した。これを受け、プロトコルガーディアンは影響を受けた全ボールトを停止した。
この攻撃は、ブロックチェーンセキュリティ企業Blockaidが月曜早朝に初めて警告し、その後CertiKとPeckShieldが攻撃を確認した。CertiKによると、攻撃者はMorphoから調達した6,540万ドルのフラッシュローンを利用して、ボールト運用を管理するスマートコントラクト「FleetCommander」の会計ロジックを操作。総資産を水増しし、1回のアトミックトランザクションで7,090万ドルを引き出すことに成功した。
「攻撃者は複数のボールトにわたるFleetCommanderのtotalAssets(総資産)の会計処理を操作した。特に、攻撃者が事前に蓄積し、その後Arkに寄付したSilo: Varlamore USDC Growthが標的となった」とCertiKはX(旧Twitter)に投稿した。この攻撃は、ERC-4626トークン化ボールト「LazyVault_LowerRisk_USDC」を標的とし、トークン寄付を通じて既知のシェア希釈脆弱性を悪用したものだ。盗まれた資金はCurveでDAIに交換され、攻撃者のウォレット(オンチェーン上で0x7BF…3BDCaと特定)に送金された。
Summer.fiはこのインシデントを確認し、プロトコルガーディアンが影響を受けたボールトを停止し、追加の損失を防止したと発表した。DefiLlamaのデータによると、攻撃発生前のプロトコルの総ロック価値(TVL)は2,200万ドルだった。攻撃開示後、ガバナンストークンのSUMRは18%以上下落した。今回のインシデントは、AaveやMorphoなどのレンディング市場間での自動リバランスにより複雑な会計面が生じ、単一のトランザクションブロック内で歪められる可能性がある、DeFi利回りアグリゲーターを標的としたフラッシュローン攻撃の増加傾向に新たに加わった。
本記事は情報提供のみを目的としており、投資助言を構成するものではない。