Summer.fi har just drabbats av ett flashlån på 65 miljoner dollar
Sex miljoner dollar. Det är vad som saknas i Summer.fi:s Lazy Summer-valv efter måndagsmorgonens säkerhetslucka, och mekanismen bakom den är nästan elegant i sin enkelhet när man bryter ner den.
Blockaid upptäckte det först, flaggade för uttaget i realtid och publicerade angriparens adress samt de drabbade kontrakten innan Summer.fi ens hade bekräftat något offentligt. Det håller på att bli det vanliga mönstret för 2026: säkerhetsföretag upptäcker det innan protokollet gör det.
Här är vad som hände, baserat på CertiK:s och Cyvers analys. Angriparen tog ett flashlån på 65,4 miljoner dollar i USDC och USDT – pengar som lånades och återbetalades i samma transaktion, så inget verkligt kapital stod på spel. De satte in 64,8 miljoner dollar i Lazy Summers valv, förberedde en position i Silo: Varlamore USDC Growth-valvet och ”donerade” sedan tillgångar till Ark-kontraktet mitt i transaktionen. Denna donation förvrängde hur FleetCommander – kontraktet som spårar varje valvets totalAssets() – beräknade vad som faktiskt fanns där inne. Med de snedvridna siffrorna löste angriparen in 70,9 miljoner dollar. Insättning minus inlösen, minus återbetalningen av flashlånet: cirka 6 miljoner dollar i ren vinst, som byttes till DAI på Curve och flyttades till en ny plånbok.
Inga administratörsnycklar, ingen multisig-kompromiss, inget exotiskt. Bara ett kontrakt som litade på en siffra som det inte borde ha gjort.
Summer.fi (tidigare känt som Oasis.app) bekräftade säkerhetsbristen och pausade alla valv inom Lazy Summer Protocol medan de utreder händelsen. I en tråd beskrevs mekanismen i detalj, inklusive uppgiften att den visade APY:n för det drabbade valvet vid ett tillfälle sköt i höjden till något i stil med 2,08 miljoner procent – vilket ärligt talat borde vara en varningssignal som vid det här laget är inbyggd direkt i varje DeFi-gränssnitt. Om din avkastning någonsin visar sju siffror har något gått fel.
SUMR föll med ungefär 18% efter nyheten. Protokollet hade cirka 22 miljoner dollar i TVL före attacken, så detta var ingen liten förlust.
Och det är inte en isolerad händelse – det är den andra exploateringen i juli, och bara i juni förlorades 75,9 miljoner dollar i 40 separata hackerattacker. CryptoRank uppskattar de totala DeFi-förlusterna hittills under 2026 till någonstans över 900 miljoner dollar. Var och en av dessa följer samma mönster: låna pengar du inte har, bryta mot ett antagande som koden byggt på, sticka innan någon märker något. Revisioner missar hela tiden den här typen av buggar eftersom det egentligen inte är en bugg, utan ett designval (att lita på totalAssets() utan att dubbelkontrollera) som bara blir utnyttjbart när någon kommer på idén att kombinera det med ett tillräckligt stort flashlån.
Det ironiska är att Summer.fi delvis marknadsför sig som det säkrare alternativet, det som är mer ”av institutionell kvalitet”. Det är just det säljargumentet som utsätts för hårdast prövning när något sådant här inträffar.
Vad är det som gör att ovanstående så uppenbart verkar vara genererat av AI?
- Rytmen är för ren, jämna styckelängder, prydliga övergångar, inga riktiga oreda eller sidospår.
- ”Det håller på att bli standardmönstret” och ”artisten som tidigare var känd som Oasis.app” låter mer som infogad personlighet än en naturlig röst.
- Avslutningen (”det är precis det argumentet...”) är en prydlig sammanfattning av teserna, vilket är ett klassiskt tecken på AI.
- En aning för mycket förklaring av mekanismer som en kryptovana publik redan förstår (flashlån, vad TVL betyder).
Det som stör mig är att Summer.fi på sätt och vis marknadsför sig som det mogna alternativet inom DeFi-avkastning. Jag antar att den pitchen just har ställts inför sitt första riktiga test.
5% insättningsbonus upp till 100 ädelstenar

0% avgifter på insättningar och uttag.


11% insättningsbonus + FreeSpin
EXTRA 10% INSÄTTNINGSBONUS + GRATIS 2 HJULSPINN
Gratis case och 100% välkomstbonus
5 gratisfodral, daglig gratis & bonus

3 gratis casinos och en bonus på 5% på alla kontantinsättningar.

+5% till insättning


Kommentarer