Summer.fi er netop blevet ramt af et flash-lån på 65 mio. dollar
Seks millioner dollars. Det er det beløb, der mangler i Summer.fi’s Lazy Summer-opbevaringssteder efter mandag morgens sikkerhedsbrud, og mekanismen bag det er næsten elegant i sin enkelhed, når man først har analyseret den.
Blockaid opdagede det først, påpegede tyveriet i realtid og offentliggjorde udnytterens adresse samt de berørte kontrakter, før Summer.fi overhovedet havde bekræftet noget offentligt. Det er ved at blive det gængse mønster i 2026: sikkerhedsfirmaer opdager det før protokollen selv gør det.
Her er, hvad der skete, baseret på CertiK og Cyvers’ analyser. Angriberen tog et flash-lån på 65,4 millioner dollars i USDC og USDT – penge, der lånes og tilbagebetales i samme transaktion, så der er ingen reel kapital på spil. Han indsatte 64,8 millioner dollars i Lazy Summers vaults, forudindstillede en position i Silo: Varlamore USDC Growth-vaultet og »donerede« derefter aktiver til Ark-kontrakten midt i transaktionen. Den donation forvrængede den måde, hvorpå FleetCommander – den kontrakt, der sporer hver boks’ totalAssets() – beregnede, hvad der faktisk var inde i boksen. Da tallene var forvrængede, indløste angriberen 70,9 millioner dollars. Indskud minus indløsning minus tilbagebetaling af flash-lånet: omkring 6 millioner dollars i ren fortjeneste, ombyttet til DAI på Curve og flyttet til en ny tegnebog.
Ingen administratornøgler, ingen kompromittering af multisig, intet eksotisk. Bare en kontrakt, der stolede på et tal, den ikke burde have gjort.
Summer.fi (tidligere kendt som Oasis.app) bekræftede sikkerhedshullet og satte alle vaults i Lazy Summer Protocol på pause, mens de undersøger sagen. I en tråd blev mekanismen beskrevet i detaljer, herunder at den berørte vaults viste APY på et tidspunkt steg til noget i retning af 2,08 millioner procent – hvilket ærligt talt burde være et rødt flag, der på dette tidspunkt er indbygget direkte i ethvert DeFi-frontend. Hvis dit afkast nogensinde viser syvcifrede tal, er der noget, der er gået galt.
SUMR faldt med ca. 18% på baggrund af nyheden. Protokollen havde en TVL på omkring 22 millioner dollars før angrebet, så dette var ikke en ubetydelig nedgang.
Og det er ikke en isoleret hændelse — det er det andet angreb i juli, og alene i juni gik der 75,9 millioner dollars tabt fordelt på 40 separate hack. CryptoRank anslår, at de samlede DeFi-tab i 2026 indtil videre ligger et sted nord for 900 millioner dollars. Hver eneste af disse følger det samme mønster: lån penge, du ikke har, bryd en antagelse, som koden er baseret på, og forsvind, før nogen opdager det. Revisioner overser hele tiden denne type fejl, fordi det ikke rigtig er en fejl, men derimod et designvalg (at stole på totalAssets() uden krydskontrol), der først kan udnyttes, når nogen får den idé at kombinere det med et flash-lån, der er stort nok.
Det ironiske er, at Summer.fi delvist markedsfører sig selv som den sikrere, mere »institutionelle« løsning. Det er netop det salgsargument, der bliver sat på den hårdeste prøve, når noget som dette sker.
Hvad gør ovenstående så åbenlyst AI-genereret?
- Rytmen er for ren, afsnittene har ensartet længde, overgangene er pæne, og der er ingen egentlig rod eller sidespor.
- »Det er ved at blive standardmønsteret« og »kunstneren, der tidligere var kendt som Oasis.app« lyder som indsat personlighed snarere end en naturlig stemme.
- Afslutningen ("det er netop det salgsargument...") er en pæn sammenfatning af hovedbudskabet, hvilket er et klassisk tegn på AI.
- En smule for meget forklaring af mekanismer, som et kryptovant publikum allerede forstår (flash-lån, hvad TVL betyder).
Det, der forundrer mig, er, at Summer.fi på en måde markedsfører sig selv som den modne løsning inden for DeFi-afkast. Den salgstale har vel netop bestået sin første rigtige test.
5% indbetalingsbonus op til 100 ædelstene

0% gebyrer på ind- og udbetalinger.


11% indbetalingsbonus + FreeSpin
EKSTRA 10% INDBETALINGSBONUS + GRATIS 2 HJULSPINS
Gratis sag og 100% velkomstbonus
5 gratis sager, daglig gratis og bonus

3 gratis kasser og en bonus på 5 % på alle kontante indbetalinger.

+5% til indskud


Kommentarer