Summer.fi 疑遭 Flash Loan 攻擊:$600 萬美元流失

Elponcrab
分享
Summer.fi 疑遭 Flash Loan 攻擊:$600 萬美元流失

DeFi 借貸協議 Summer.fi(Summer Finance)7 月 6 日疑似遭遇 flash loan 攻擊,攻擊者以約 $6,540 萬美元的閃電貸金額操縱流動性、獲利約 $600 萬美元。區塊鏈安全公司 CertiKBlockaid 稍早分別在 X 上發出可疑交易警訊,指出 Summer.fi 貸款金庫(vault)遭到 $600 萬美元規模流失;Summer.fi 團隊隨後緊急暫停所有金庫,但截稿前尚未發布完整技術後檢報告。

CertiK 與 Blockaid 分別偵測、Flash loan 規模達 $6,540 萬美元

CertiK 於 X 上表示:「我們偵測到一筆涉及 @summerfinance_ 的可疑交易,發送方使用約 $6,540 萬美元 flash loan 操縱流動性、獲利約 $600 萬美元」。Blockaid 則在幾乎同一時間貼文標記 Summer.fi,寫「目前已流失約 $600 萬美元」。根據 Blockchain.News 交易追蹤,實際被抽走的資產為 6.017 M DAI。攻擊在鏈上完成後,Summer.fi 的協議 guardian 在數小時內把所有 vault 全數暫停,避免進一步損失。

攻擊機制:flash loan 灌入 Silo Varlamore vault,操縱 totalAssets 帳面

根據 The Block 7 月 6 日報導整理的鏈上分析,這次攻擊瞄準 Summer.fi 上「Silo: Varlamore USDC Growth」金庫。攻擊者先向該金庫累積部位,再把資產「捐贈」(donate)到協議中的 Ark 合約,藉此扭曲 FleetCommander 對 totalAssets() 的帳面計算。接著攻擊者存入 $6,480 萬美元、贖回 $7,090 萬美元,淨獲利即為兩者差額約 $600 萬美元。整個流程都在單筆 flash loan 內完成,攻擊者不需事先鎖倉任何資本。

廣告 - 內文未完請往下捲動

Summer.fi 團隊回應:所有 vault 暫停、根因與後檢報告仍待公布

Summer.fi 的 guardian 機制在 CertiK 與 Blockaid 警訊發出後啟動,把所有金庫進入暫停狀態,用戶暫時無法存取相關資產。crypto.news 7 月 6 日 07:27 UTC 更新指出,Summer.fi 官方頻道尚未發布完整聲明,僅回應「事件仍在調查中」;技術根因、資產可回收比例、以及是否為 FleetCommander 邏輯缺陷或帳戶隔離設計問題,都須等官方後檢報告釐清。這次事件也是 2026 上半年 flash loan 操縱攻擊系列(SOF、LAXO、ATM 等 BNB Chain 代幣)之後,第一次擴大到主流 DeFi 借貸協議。

風險提示

加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。