Summer.fi 关停:闪电贷攻击致损604万,协议由DAO接管
夏季协议宣告终结:估值漏洞引发巨额损失
Summer.fi 宣布启动全面停运流程。此前,针对 Lazy Summer Vaults 的一次闪电贷攻击通过操控协议的资产估值机制,从以太坊网络上的两个 USDC 金库中提取约 604 万美元。尽管平台界面、客户支持系统及 Discord 频道将持续开放至 2026 年 8 月 31 日,但底层协议将不再自动关闭,因其由 Lazy Summer DAO 独立治理。官方声明指出,此次事件造成资金严重短缺,团队已无足够能力支撑后续修复工作与持续运营。
衰退中的协议遭遇致命打击
Summer.fi 自 2019 年起运营至今,于 2021 年 6 月脱离 Maker Foundation 实现独立。期间累计服务超过五万名用户,主要通过 Oasis.app 及其自有平台进行交互。协议上线初期迅速扩张,前九个月总锁仓价值逼近 2 亿美元。然而,在关停公告发布前,其资产规模已显著萎缩。DefiLlama 数据显示,最新快照中协议总锁仓价值约为 1280 万美元。同时,季度收入从 2025 年第三季度的 21.83 万美元骤降至 2026 年第二季度的 4.742 万美元。尽管 TVL 下降未必代表用户流失,但可能源于提款行为、代币价格波动、金库暂停或估值模型调整。值得注意的是,团队自身资本亦存放于受波及的金库中,因此攻击不仅影响外部存款,更直接削弱了项目可持续运营的财务基础。
陈旧估值机制成攻击突破口
攻击并未针对智能合约权限,而是利用 Lazy Summer Vaults 在计算净资产价值(NAV)时对特定策略的依赖。该协议采用名为 Arks 的策略适配器体系,其中一项曾用于持有 Silo Varlamore USDC Growth Vault 代币的 Ark 已进入淘汰阶段,其存款上限已被设为零。然而,该策略仍保留在活跃的 FleetCommander 评估集合中,导致其过时的资产估值继续影响整体金库净值。攻击者将大量过期的 Silo 代币捐赠至该 Ark,人为抬高金库报告价值。由此产生的虚高份额价格使攻击者得以从 Morpho、Spark 和 Sky 等真实流动性池中赎回实际可用的 USDC。根据官方复盘报告,攻击在单笔原子交易中动用超 6500 万美元闪电贷完成。低风险金库损失约 564 万美元,高风险部分损失约 40 万美元。调查确认无新引入的代码缺陷,问题根源在于策略关停流程未彻底执行,致使已废弃组件仍参与估值。此外,关联钱包早在攻击数月前便开始积累相关代币。攻击完成后,闪电贷被偿还,剩余收益转为 DAI,部分资金经由 Tornado Cash 进行匿名转移。
未来命运交由去中心化治理
随着 Summer.fi Labs 正式退出,Lazy Summer Protocol 将由 DAO 继续管理。攻击发生后,所有金库已被暂停,存款限额归零。目前,DAO 正推进恢复提款与份额赎回功能的程序设计,相关功能将在条件成熟后上线至 Summer.fi 前端。团队尚未承诺对受损用户实施全额补偿。任何重建方案及长期发展方向均需通过 DAO 治理投票决定。DefiLlama 将此事件定性为以太坊上典型的协议逻辑捐赠型攻击。数据显示,协议全生命周期累计收入约为 23.205 万美元,而本次损失达 604 万美元,约为其总收入的 26 倍。该比例虽不反映完整资产负债状况,但凸显损失规模之惊人。此事件也嵌入于更广泛的加密安全危机背景之中——2026 年 5 月的一份行业报告显示,当月共记录 41 起攻击事件,总损失达 8420 万美元。尽管平台服务将于 8 月 31 日后终止,但提款机制、修复流程以及协议未来职责将完全由 Lazy Summer DAO 承担。
一分钟读懂:Summer.fi宣布逐步停止运营,因一次闪电贷攻击导致逾600万美元损失。攻击者利用过时估值策略操纵资产净值,侵蚀用户资金与项目储备。协议核心将移交Lazy Summer DAO,未来恢复计划由社区治理决定。
