atacantes drenaram cerca de US$ 6 milhões do Summer.fi, explorando uma vulnerabilidade em um cofre de USDC cujo rendimento anunciado ultrapassou brevemente a marca de 2 milhões por cento, de acordo com as empresas de segurança on-chain Blockaid e PeckShieldAlert.
A Blockaid escreveu no X que seu sistema de detecção de exploits haviadenta exploração enquanto ela estava em andamento.
A empresa de segurança afirmou na ocasião que cerca de 6 milhões de dólares já haviam sido "gastos" enquanto as transações ainda estavam em andamento.
Uma publicação subsequente da Blockaid divulgou a transação exploratória, a carteira do atacante, otracexploratório e a lista detracLazy Summer afetados.
O alvo era um único cofre que o PeckShieldAlertdentcomo LazyVault_LowerRisk_USDC, código LVUSDC, uma estratégia com gestão de risco realizada pela empresa BlockAnalitica.
Segundo o PeckShieldAlert, "o APY exibido do LVUSDC chegou brevemente a atingir cerca de 2,08 milhões", e acrescentou que o maior detentor do cofre após a exploração "parece estar associado a Torben Jorgensen".
De acordo com o BlockTempo, que citou o horário de 05:17 divulgado pelo Blockaid, o atacante executou um ataque de inflação baseado em doações contra um cofre ERC-4626.
O padrão ERC-4626 é a interface padrão para cofres que emitem ações com base em tokens depositados, e calcula o preço da ação com base na proporção entre os ativos mantidos e as ações em circulação.
Se um atacante doar uma pequena quantidade de tokens diretamente para o cofre, ele poderia, teoricamente, distorcer essa proporção e elevar o preço de uma única ação muito acima de seu valor justo, para então resgatar o valor por um montante superior ao investido.
A BlockTempo informou que a operação foi financiada por um empréstimo relâmpago da Morpho, um empréstimo tomado e pago em uma única transação, com as negociações encaminhadas pela Uniswap, Curve e Balancer.
O valor explorado é modesto em comparação com os maiores vazamentos de criptomoedas, mas é grande em relação ao tamanho do Summer.fi
O protocolo possui cerca de US$ 34,8 milhões em valor total bloqueado, a maior parte, sendo mais de US$ 32,4 milhões, na Ethereum, segundo DefiLlama. O vazamento de US$ 6 milhões representa quase um quinto dos ativos da plataforma, o que é considerável.
A Summer.fi se apresenta como uma agregadora de rendimentos que permite aos usuários "tomar emprestado, multiplicar e ganhar" em diversas plataformas de empréstimo, com os cofres da Lazy Summer direcionando os depósitos para estratégias baseadas em protocolos como o Morpho.
O segundo trimestre de 2026 registrou o maior número de ataques em termos de incidentesdent com mais de 83 explorações distintas. Esse trimestre foi caracterizado por muitos ataques menores, e manipulações de preços de ações e contábeis surgiram juntamente com falhas de segurança e roubo de chaves administrativas como vetores recorrentes.
A Summer.fi reconheceu o ataque, escrevendo no X: "Estamos cientes da exploração relatada hoje cedo e estamos investigando a causa raiz. Os responsáveis pelo protocolo estão pausando todos os Vaults no Protocolo Lazy Summer."
A equipe afirma que fornecerá mais atualizações assim que estiverem disponíveis.
Se você está lendo isto, já está um passo à frente. Continue assim assinando nossa newsletter.