Summer.fi遭600万美元金库攻击:NAV机制漏洞被利用,非合约问题曝光

DeFi收益协议Summer.fi发布事后分析报告,2026年7月6日,一名攻击者通过操控以太坊主网上两个Lazy Summer Protocol USDC金库的份额价格,成功提取约604万美元存款人资产。报告指出,攻击者利用了金库净值计算机制中的漏洞:他们将一款原本已被限制存款、处于下线进程但仍计入净值的Silo「Varlamore」金库代币(自2025年11月Stream Finance暴雷后其链上估值未及时下调)“捐赠”至相关策略适配器,从而人为推高金库份额价格,进而进行套利赎回。值得注意的是,这一操作并非源于智能合约代码漏洞,而是策略下线流程未能及时完成所致。

报告进一步说明,该次攻击至少经历了三个月的前期铺垫。攻击者通过多个钱包分散持有相关代币,以规避监控;此外,事后Guardian多签及基金会已紧急暂停协议全部金库并将存款上限归零。众多安全机构如SEAL 911等亦进入链上追踪,但攻击者已将部分资金通过Tornado Cash等隐蔽工具转移,导致后续追踪难度加大。目前,Lazy Summer DAO正就金库解除暂停时间及受影响用户资金的处理方案进行内部评估,尚未公布最终赔付计划。

Facebook
Twitter
LinkedIn
Telegram

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注