据链上安全机构 Blockaid 和 PeckShieldAlert 监测,7月6日,Summer.fi 的 Lazy Summer 协议遭黑客攻击,约 600 万美元被从 USDC 金库中盗走。Blockaid 在 X 上表示,其漏洞检测系统在攻击发生时已识别到异常,并公布了攻击交易、攻击者钱包、合约以及受影响的金库列表。
被攻击的是单个金库:PeckShieldAlert 识别为 LazyVault_LowerRisk_USDC(代码 LVUSDC),由 BlockAnalitica 进行风险策略管理。PeckShieldAlert 指出,“LVUSDC 的显示年化收益率(APY)短暂飙升至约 208 万%”,并补充说,攻击后该金库的最大持有者“似乎与 Torben Jorgensen 有关联”。
据 BlockTempo 报道,攻击发生在 05:17(UTC),攻击者对 ERC-4626 金库实施了捐赠通胀攻击。ERC-4626 标准是金库发行份额代币的默认接口,份额价格基于持有资产与流通份额的比率计算。若攻击者直接向金库捐赠少量代币,理论上可扭曲该比率,使单个份额价格远高于公允价值,从而赎回更多资产。报道称,攻击资金来自 Morpho 的闪电贷,交易路由经过 Uniswap、Curve 和 Balancer。
虽然 600 万美元的损失在加密行业大规模攻击中不算高,但相对于 Summer.fi 的规模已不小。据 Defillama 数据,该协议总锁仓量约 3480 万美元,其中以太坊上超过 3240 万美元。被盗的 600 万美元接近平台总资产的五分之一,影响重大。
Summer.fi 定位为收益聚合器,允许用户在借贷市场“借、赚、增”,Lazy Summer 金库将其存款投资于基于 Morpho 等协议的策略。2026 年 Q2 是历史上攻击数量最多的季度,共超过 83 起独立攻击。该季度以小规模盗取为主,份额价格和会计操纵与桥接漏洞、管理员密钥盗窃并列常见攻击手法。
Summer.fi 已在 X 上确认攻击:“我们注意到了今天早些时候报告的漏洞事件,正在调查根本原因。协议守护者目前正在暂停 Lazy Summer 协议中的所有金库。”团队表示将及时更新进展。
(本快讯由 BlockWeeks 编译整理自公开信息)
免责声明:本文提供的信息不是交易建议。BlockWeeks.com不对根据本文提供的信息所做的任何投资承担责任。我们强烈建议在做出任何投资决策之前进行独立研究或咨询合格的专业人士。