Exploit de Contabilidad del Vault Lazy Summer de Summer.fi
Un atacante con préstamo flash manipuló la contabilidad de participaciones del vault de USDC Lazy Summer de Summer.fi, canjeando activos inflados para drenar unos 6 millones de dólares en Ethereum.
- Fecha
- Víctima
- Summer.fi
- Cadena(s)
- Estado
- Fondos robados
El 6 de julio de 2026, Summer.fi —el front-end del sistema de rendimiento on-chain conocido como Lazy Summer Protocol— fue explotado por aproximadamente 6 millones de dólares después de que un atacante usara un gran préstamo flash para manipular la contabilidad de participaciones de uno de sus vaults de USDC y canjear mucho más valor del que se había depositado.
Qué ocurrió
El Lazy Summer Protocol opera LazyVaults que enrutan automáticamente los depósitos a fuentes de rendimiento DeFi como Aave, Morpho y Curve. El atacante tomó un préstamo flash de aproximadamente 65,4 millones de dólares, principalmente en USDC y USDT obtenidos de Morpho, y lo hizo circular por plazas de liquidez como Curve para crear desequilibrios temporales. Esos desequilibrios distorsionaron la lógica de precio de participación y de desasignación del vault LazyVault_LowerRisk_USDC, permitiendo al atacante inflar artificialmente los activos totales del vault y luego canjear participaciones por mucho más de lo que valían —según los informes, obteniendo un canje de unos 70,9 millones de dólares contra el capital prestado, todo en una única transacción atómica. La ganancia neta de unos 6 millones de dólares se convirtió a DAI en Curve y se trasladó a una dirección controlada por el atacante; los analistas on-chain señalaron que la billetera de origen había sido financiada a través de FixedFloat en la red Base. Summer.fi tenía unos 22 millones de dólares en valor total bloqueado antes del incidente.
Consecuencias
La firma de seguridad Blockaid fue la primera en marcar la transacción de drenaje, y PeckShield y CertiK también reportaron actividad sospechosa y publicaron la dirección del atacante y el contrato del exploit. Summer.fi pausó todos los vaults del Lazy Summer Protocol para contener el incidente y comenzó a investigar el fallo de contabilidad. El token SUMR del protocolo cayó más de un 18 % en las horas posteriores a que saliera a la luz el exploit. Hasta la fecha de los informes, los fondos robados no habían sido recuperados, y el incidente se clasifica como una pérdida en curso.
Por qué importa
Summer.fi es otra entrada en el patrón de fallo dominante de DeFi en 2026: manipulación de la contabilidad de participaciones de vaults financiada con préstamos flash. La misma primitiva —pedir prestado barato, distorsionar una relación interna de activos por participación y luego canjear la inflación— drenó a Bunni a través de un fallo de redondeo en su matemática de liquidez y sustentó los ataques de donación ERC-4626 contra Resupply y Thetanuts. Ocurrió en la misma semana que Edel Finance, otro exploit de precios de vault financiado con préstamo flash, subrayando una lección contundente para los enrutadores de rendimiento auto-compuestos: un agregador solo es tan seguro como la suposición contable más débil de cualquier vault que toque, y la matemática del precio de participación debe seguir siendo sólida incluso cuando un atacante puede disponer momentáneamente de decenas de millones en liquidez prestada.
Fuentes y evidencia on-chain
- [01]coindesk.comhttps://www.coindesk.com/web3/2026/07/06/defi-protocol-summer-fi-halts-lazy-summer-vaults-after-usd6-million-exploit
- [02]theblock.cohttps://www.theblock.co/post/407198/summer-finance-exploited
- [03]beincrypto.comhttps://beincrypto.com/summer-fi-exploit-6-million-sumr/
- [04]mpost.iohttps://mpost.io/summer-fi-suffers-6m-defi-exploit-after-alleged-flash-loan-manipulates-vault-accounting/