Summer Finance 成为最新一个遭遇重大安全事件的去中心化金融(DeFi)协议。据区块链安全公司 Blockaid 透露,截至目前,此次持续进行的攻击已导致 600 万美元资产被盗。然而,该项目方尚未发布官方声明。
化名为 Crypto Jargon 的加密货币交易员表示,攻击者通过闪电贷借入资金,操纵了 Curve 的 DAI/USDC 池以及 Morpho 的流动性,从中获取约 600 万美元利润,并在同一笔交易中归还了贷款。该交易员指出,闪电贷攻击仍难以防范,并解释道:“攻击者无需拥有用于操纵的资金;他们借入 6500 万美元仅几秒钟,临时扭曲价格或流动性比率,套取差额,在交易最终确认前归还贷款。如果其中任何一步回滚,整个操作就会失效,因此他们只需承担 Gas 费用。”
Phylax Systems 创始人 Odysseas Lamtzidis 也分享了技术分析,认为此次攻击源于 Summer Finance 在同笔交易中的金库记账与流动性假设存在缺陷,而非密钥泄露或管理员权限滥用。他补充道,攻击者使用了一个未经验证的合约来策划攻击,而存在漏洞的协议组件本身却是经过验证的。
此次事件发生之际,今年针对 DeFi 协议的攻击急剧增加。据加密货币市场追踪机构 CryptoRank 统计,2026 年该领域共发生 121 起 DeFi 黑客攻击,造成近 9.42 亿美元的损失。
今年大部分攻击发生在第二季度,黑客实施了 85 次攻击,盗走约 7.75 亿美元。CryptoRank 发现,今年 DeFi 的总锁仓价值(TVL)逐月下降,从 1 月的约 1150 亿美元跌至 6 月底的 700 亿美元,投资者信心持续减弱。
尽管第二季度攻击次数最多,但该机构表示,大部分损失来自 4 月的两起重大攻击。Drift Protocol 与 KelpDAO 合计损失约 5.9 亿美元,占今年所有 DeFi 损失的一半以上。
TRM Labs 和 Chainalysis 均将这两起攻击与朝鲜支持的黑客组织联系起来。调查发现,攻击者利用社会工程、入侵基础设施以及操纵跨链验证系统,实施了大规模盗窃。