Am 6. Juli 2026 wurde Summer.fi — das Front-End für das On-Chain-Yield-System namens Lazy Summer Protocol — um etwa 6 Millionen US-Dollar erleichtert, nachdem ein Angreifer mit einem großen Flash Loan die Share-Buchhaltung eines seiner USDC-Vaults manipuliert und weit mehr Wert eingelöst hatte, als eingezahlt worden war.
Was geschah
Das Lazy Summer Protocol betreibt LazyVaults, die Einlagen automatisch über DeFi-Yield-Quellen wie Aave, Morpho und Curve verteilen. Der Angreifer nahm einen Flash Loan von rund 65,4 Millionen US-Dollar auf, überwiegend in USDC und USDT und bezogen von Morpho, und schleuste ihn durch Liquiditätsplätze wie Curve, um vorübergehende Ungleichgewichte zu erzeugen. Diese Ungleichgewichte verzerrten die Share-Preis- und Deallocation-Logik des Vaults LazyVault_LowerRisk_USDC und erlaubten es dem Angreifer, die Gesamtaktiva des Vaults künstlich aufzublähen und dann Shares für weit mehr einzulösen, als sie wert waren — Berichten zufolge eine Einlösung von etwa 70,9 Millionen US-Dollar gegen das geliehene Kapital, alles in einer einzigen atomaren Transaktion. Der Nettogewinn von rund 6 Millionen US-Dollar wurde in DAI auf Curve getauscht und an eine vom Angreifer kontrollierte Adresse verschoben; On-Chain-Analysten bemerkten, dass die Ausgangs-Wallet über FixedFloat im Base-Netzwerk finanziert worden war. Summer.fi hielt vor dem Vorfall etwa 22 Millionen US-Dollar an Total Value Locked.
Folgen
Die Sicherheitsfirma Blockaid meldete die abziehende Transaktion zuerst, wobei auch PeckShield und CertiK verdächtige Aktivität meldeten und die Angreiferadresse sowie den Exploit-Vertrag veröffentlichten. Summer.fi pausierte alle Vaults des Lazy Summer Protocol, um den Vorfall einzudämmen, und begann, den Buchhaltungsfehler zu untersuchen. Der SUMR-Token des Protokolls fiel um mehr als 18 % in den Stunden nach Bekanntwerden des Exploits. Zum Zeitpunkt der Berichterstattung waren die gestohlenen Mittel nicht zurückerlangt, und der Vorfall wird als anhaltender Verlust eingestuft.
Warum es wichtig ist
Summer.fi reiht sich in das dominierende DeFi-Fehlermuster von 2026 ein: durch Flash Loans finanzierte Manipulation der Vault-Share-Buchhaltung. Dasselbe Grundmuster — günstig leihen, ein internes Assets-pro-Share-Verhältnis verzerren, dann die Aufblähung einlösen — leerte Bunni über einen Rundungsfehler in seiner Liquiditätsmathematik und lag den ERC-4626-Donation-Angriffen auf Resupply und Thetanuts zugrunde. Es geschah in derselben Woche wie Edel Finance, ein weiterer Flash-Loan-finanzierter Vault-Pricing-Exploit, und unterstreicht eine schlichte Lehre für auto-kompoundierende Yield-Router: Ein Aggregator ist nur so sicher wie die schwächste Buchhaltungsannahme in irgendeinem Vault, den er berührt, und die Share-Preis-Mathematik muss auch dann stichhaltig bleiben, wenn ein Angreifer kurzzeitig über zig Millionen an geliehener Liquidität verfügt.
Quellen & On-Chain-Belege
- [01]coindesk.comhttps://www.coindesk.com/web3/2026/07/06/defi-protocol-summer-fi-halts-lazy-summer-vaults-after-usd6-million-exploit
- [02]theblock.cohttps://www.theblock.co/post/407198/summer-finance-exploited
- [03]beincrypto.comhttps://beincrypto.com/summer-fi-exploit-6-million-sumr/
- [04]mpost.iohttps://mpost.io/summer-fi-suffers-6m-defi-exploit-after-alleged-flash-loan-manipulates-vault-accounting/