Взлом Summer.fi: детали flash loan атаки на 6 млн долларов
Summer.fi (он же Summer Finance) потерял $6 млн в результате flash loan-атаки. Атакующий манипулировал ликвидностью в пулах Curve DAI/USDC и Morpho, извлёк разницу и погасил займ в рамках одной транзакции.

Вектор: мгновенный займ через непроверенный контракт
Криптотрейдер под псевдонимом Crypto Jargon разобрал механику эксплойта. Злоумышленник занял миллионы долларов на несколько секунд, временно исказил соотношение ликвидности в пулах, вывел разницу и вернул займ до завершения транзакции. Если хоть один шаг не выполнится — атака срывается автоматически, и хакер теряет только комиссию за газ. Оверхед для атакующего околонулевой.
Основатель Phylax Systems Одиссеас Ламцидис проанализировал инцидент и исключил компрометацию ключей или злоупотребление админскими привилегиями. Его вывод: уязвимость возникла при подсчёте балансов и ликвидности хранилища Summer Finance. Для эксплойта использовался непроверенный (unverified) контракт — тогда как сами уязвимые компоненты протокола прошли верификацию. Классическая архитектурная ошибка: верифицирована отдельная библиотека, но не аудирован контракт, который ей управляет через внешние вызовы.
Контекст: $75,8 млн за июнь и $35 млн за неделю
Инцидент с Summer.fi — часть системного тренда. По данным PeckShield, за июнь 2026 года хакеры похитили из криптопроектов около $75,8 млн в рамках 40 крупных инцидентов. Основные мишени: кроссчейн-мосты, DeFi-протоколы и смарт-контракты.
На той же неделе (5–11 июля) от атак пострадали BonkDAO и Bonzo Lend — общий ущерб превысил $35 млн. Векторы — уязвимости управления и оракулов. Общая картина неутешительна: атаки становятся рутиной, а протоколы продолжают страдать от одних и тех же классов уязвимостей.
Вердикт
Summer.fi — ещё один кейс, где формальная верификация отдельных компонентов не спасает от логической ошибки на уровне оркестрации. Flash loan остаётся атакой с околонулевым риском для злоумышленника: никаких предварительных активов, никаких привилегий — только газ и знание архитектуры протокола.
Для тех, кто аудитует или развертывает смарт-контракты: проверяйте не только изолированные модули, но и их взаимодействие через непроверенные внешние вызовы. Верификация библиотеки без аудита управляющего контракта — это не проверка, а её имитация. Математика не врёт: пока оркестрация не покрыта, exploit surface остаётся открытым.