Según las empresas de seguridad en cadena Blockaid y PeckShieldAlert, el 6 de julio, unos atacantes sustrajeron alrededor de 6 millones de dólares del protocolo Lazy Summer de Summer.fi , aprovechando una bóveda de USDC cuyo rendimiento anunciado superó brevemente el 2 millones por ciento
Blockaid escribió en X que su sistema de detección de exploits habíadentel exploit mientras estaba en curso.
La empresa de seguridad declaró entonces que se habían "desviado hasta el momento unos 6 millones de dólares" mientras las transacciones aún estaban en curso.
En una publicación posterior de Blockaid se detalló la transacción explotada, la billetera del atacante, eltracexplotado y la lista detracde Lazy Summer afectados.
El objetivo era una única bóveda que PeckShieldAlertdentcomo LazyVault_LowerRisk_USDC, símbolo LVUSDC, una estrategia gestionada en términos de riesgos por la empresa BlockAnalitica.
Según PeckShieldAlert, "el APY mostrado de LVUSDC se disparó brevemente a ~2,08 millones de %", y agregó que el mayor poseedor de la bóveda después del exploit "parece estar asociado con Torben Jorgensen".
Según BlockTempo, que citó la hora de las 05:17 proporcionada por Blockaid, el atacante llevó a cabo un ataque de inflación basado en donaciones contra una bóveda ERC-4626.
El estándar ERC-4626 es la interfaz predeterminada para las bóvedas que emiten acciones a cambio de tokens depositados, y calcula el precio de las acciones en función de la relación entre los activos mantenidos y las acciones en circulación.
Si un atacante dona una pequeña cantidad de tokens directamente a la bóveda, teóricamente podría distorsionar esa proporción y elevar el precio de una sola acción muy por encima de su valor justo, para luego canjearla por más de lo que invirtió.
Según BlockTempo, la operación se financió mediante un préstamo flash obtenido de Morpho, un préstamo que se solicitó y se reembolsó en una sola transacción, y las operaciones se realizaron a través de Uniswap, Curve y Balancer.
La cifra explotada es modesta si se compara con las mayores filtraciones de criptomonedas, pero es grande en relación con el tamaño de Summer.fi
El protocolo tiene bloqueados alrededor de 34,8 millones de dólares, la mayor parte de los cuales, y más de 32,4 millones, se encuentran en Ethereum, según DefiLlama. La fuga de 6 millones de dólares representa casi una quinta parte de los activos de la plataforma, lo cual es considerable.
Summer.fi se presenta como un agregador de rendimiento que permite a los usuarios "pedir prestado, multiplicar y ganar" en diferentes plataformas de préstamos, y las bóvedas de Lazy Summer canalizan los depósitos hacia estrategias basadas en protocolos como Morpho.
En el segundo trimestre de 2026 se registró el mayor número de ataques de la historiadent con más de 83 vulnerabilidades distintas. Ese trimestre se caracterizó por numerosos ataques de menor envergadura, y las manipulaciones del precio de las acciones y la contabilidad se suman a las vulnerabilidades de los puentes de red y al robo de claves de administrador como vectores recurrentes.
Summer.fi ha reconocido el ataque y ha escrito en X: «Estamos al tanto de la vulnerabilidad reportada hoy mismo y estamos investigando la causa raíz. Los responsables del protocolo están pausando todas las bóvedas del Protocolo Lazy Summer».
El equipo afirma que proporcionará más actualizaciones a medida que estén disponibles.
No te limites a leer noticias sobre criptomonedas. Entiéndelas. Suscríbete a nuestro boletín. Es gratis.