Summer.fi:600 万美元金库攻击源于 NAV 机制被利用,非合约漏洞

robot
摘要生成中
ME News 消息,7 月 8 日(UTC+8),DeFi 收益协议 Summer.fi 发布 600 万美元漏洞攻击事后分析报告,2026 年 7 月 6 日,一名攻击者通过操纵以太坊主网上两个 Lazy Summer Protocol USDC 金库的份额价格,在单笔原子交易中提取了约 604 万美元存款人资产。报告显示,攻击者利用了金库净值计算机制的漏洞:将一个此前已被限制存款、正处于下线过程但仍计入净值计算的 Silo「Varlamore」金库代币(自 2025 年 11 月 Stream Finance 崩溃后其链上估值一直未被下调)「捐赠」至相关策略适配器,从而人为推高金库份额价格并借此赎回套利,整个操作并非合约代码漏洞,而是策略下线流程未及时完成所致。 报告指出,该操作至少经过三个月的前期布局,攻击者通过多个钱包分散积累相关代币以掩盖意图;事件发生后,Guardian 多签及基金会已暂停协议全部金库并将存款上限归零,SEAL 911 等安全机构已介入协助追踪资金,但攻击者已将部分资金通过 Tornado Cash 转移,链上追踪难度增加。目前 Lazy Summer DAO 正就金库解除暂停时间及受影响用户资金处理方案进行评估,尚未公布最终赔付方案。(来源:Foresight News)
STREAM-1.23%
此页面可能包含第三方内容,仅供参考(非陈述/保证),不应被视为 Gate 认可其观点表述,也不得被视为财务或专业建议。详见声明
  • 赞赏
  • 评论
  • 转发
  • 分享
评论
请输入评论内容
请输入评论内容
暂无评论