Exploit de Comptabilité du Vault Lazy Summer de Summer.fi
Un attaquant muni d'un flash loan a manipulé la comptabilité des parts du vault USDC Lazy Summer de Summer.fi, rachetant des actifs gonflés pour drainer environ 6 millions de dollars sur Ethereum.
- Date
- Victime
- Summer.fi
- Chaîne(s)
- Statut
- Fonds dérobés
Le 6 juillet 2026, Summer.fi — le front-end du système de rendement on-chain appelé Lazy Summer Protocol — a été exploité pour environ 6 millions de dollars après qu'un attaquant a utilisé un important flash loan pour manipuler la comptabilité des parts de l'un de ses vaults USDC et racheter bien plus de valeur qu'il n'avait été déposé.
Ce qui s'est passé
Le Lazy Summer Protocol exploite des LazyVaults qui acheminent automatiquement les dépôts vers des sources de rendement DeFi telles qu'Aave, Morpho et Curve. L'attaquant a contracté un flash loan d'environ 65,4 millions de dollars, principalement en USDC et USDT provenant de Morpho, et l'a fait circuler à travers des places de liquidité comme Curve afin de créer des déséquilibres temporaires. Ces déséquilibres ont faussé la logique de prix de part et de désallocation du vault LazyVault_LowerRisk_USDC, permettant à l'attaquant de gonfler artificiellement les actifs totaux du vault puis de racheter des parts pour bien plus qu'elles ne valaient — obtenant, selon les rapports, un rachat d'environ 70,9 millions de dollars contre le capital emprunté, le tout en une seule transaction atomique. Le profit net d'environ 6 millions de dollars a été converti en DAI sur Curve et transféré vers une adresse contrôlée par l'attaquant ; les analystes on-chain ont noté que le portefeuille d'origine avait été financé via FixedFloat sur le réseau Base. Summer.fi détenait environ 22 millions de dollars de valeur totale verrouillée avant l'incident.
Conséquences
La société de sécurité Blockaid a été la première à signaler la transaction de drainage, PeckShield et CertiK ayant également signalé une activité suspecte et publié l'adresse de l'attaquant ainsi que le contrat d'exploit. Summer.fi a suspendu tous les vaults du Lazy Summer Protocol pour contenir l'incident et a commencé à enquêter sur la faille comptable. Le token SUMR du protocole a chuté de plus de 18 % dans les heures qui ont suivi la découverte de l'exploit. À la date des rapports, les fonds volés n'avaient pas été récupérés, et l'incident est classé comme une perte en cours.
Pourquoi c'est important
Summer.fi est une nouvelle entrée dans le mode de défaillance dominant de la DeFi en 2026 : la manipulation de la comptabilité des parts de vault financée par des flash loans. La même primitive — emprunter à bas coût, fausser un ratio interne d'actifs par part, puis racheter le gonflement — a vidé Bunni via une faille d'arrondi dans sa mathématique de liquidité et sous-tendait les attaques par donation ERC-4626 contre Resupply et Thetanuts. Elle est survenue la même semaine qu'Edel Finance, un autre exploit de tarification de vault financé par flash loan, soulignant une leçon brutale pour les routeurs de rendement auto-composés : un agrégateur n'est jamais plus sûr que l'hypothèse comptable la plus faible de tout vault qu'il touche, et la mathématique du prix de part doit rester solide même lorsqu'un attaquant peut momentanément mobiliser des dizaines de millions de liquidité empruntée.
Sources & preuves on-chain
- [01]coindesk.comhttps://www.coindesk.com/web3/2026/07/06/defi-protocol-summer-fi-halts-lazy-summer-vaults-after-usd6-million-exploit
- [02]theblock.cohttps://www.theblock.co/post/407198/summer-finance-exploited
- [03]beincrypto.comhttps://beincrypto.com/summer-fi-exploit-6-million-sumr/
- [04]mpost.iohttps://mpost.io/summer-fi-suffers-6m-defi-exploit-after-alleged-flash-loan-manipulates-vault-accounting/