要点速览:
- Summer.fi 在其 Lazy Summer 金库中因闪电贷攻击损失约 600 万美元。
- 攻击者利用一笔 6540 万美元的 Morpho 闪电贷操纵金库份额会计逻辑。
- 该协议的 SUMR 代币在攻击披露后下跌超过 18%。
要点速览:

去中心化金融协议 Summer.fi 损失约 600 万美元,起因是一名攻击者利用其部署在以太坊上的 Lazy Summer 自动化收益金库中的闪电贷漏洞,促使协议守护者暂停了所有受影响的金库。
此次攻击最早由区块链安全公司 Blockaid 于周一早些时候发现,随后 CertiK 和 PeckShield 也确认了该事件。CertiK 表示,攻击者从 Morpho 借入一笔 6540 万美元的闪电贷,用以操纵 FleetCommander(负责管理金库操作的智能合约)的会计逻辑,从而夸大总资产,并在单笔原子交易中赎回了 7090 万美元。
"攻击者操纵了 FleetCommander 在多个金库中的 totalAssets 会计数据,尤其是 Silo: Varlamore USDC Growth 金库——攻击者此前已提前囤积该金库资产,并在中间步骤中向 Ark 进行了捐赠,"CertiK 在 X 平台上写道。此次攻击的目标是一个名为 LazyVault_LowerRisk_USDC 的 ERC-4626 代币化金库,利用代币捐赠暴露了已知的份额通胀漏洞。被盗资金在 Curve 上兑换为 DAI,并转移至攻击者钱包(链上标识为 0x7BF…3BDCa)。
Summer.fi 确认了该事件,并表示协议守护者已暂停受影响的金库,以防止进一步损失。根据 DefiLlama 的数据,该协议在攻击前的总锁仓价值为 2200 万美元。其 SUMR 治理代币在攻击披露后下跌超过 18%。此次事件是近期一系列针对 DeFi 收益聚合器的闪电贷攻击中的最新一起——这类协议在 Aave 和 Morpho 等借贷市场之间的自动再平衡操作,创造了复杂的会计表面,极易在单个交易区块内被扭曲。
本文仅供参考,不构成投资建议。