
Summer.fi закроет интерфейс после взлома на $6 млн
Команда Summer.fi объявила о прекращении операционной деятельности после хакерской на $6,04 млн. Пользовательский интерфейс останется доступен до 31 августа, а дальнейшую судьбу самого протокола определит управляющая им ДАО.
After 7 amazing years building in DeFi, the recent exploit on the Lazy Summer Protocol has forced us into the very difficult decision to wind down https://t.co/ccpDrJSnsA and sunset the UI.
— Summer.fi ☀ (@summerfinance_) July 15, 2026
We want to thank all our users, the community and supporters — you made it worthwhile.
«Мы пришли к выводу, что у нас нет жизнеспособного пути вперед, кроме прекращения деятельности», — заявили разработчики.
Summer.fi проработал около семи лет. Команда провела два года в составе Maker Foundation, а в июне 2021 года выделилась в самостоятельный проект. За это время сервисами Oasis.app и Summer.fi воспользовались более 50 000 человек.
Общий объем заблокированной стоимости Lazy Summer Protocol достиг $200 млн за первые девять месяцев работы. К моменту атаки показатель сократился примерно до $22 млн, согласно данным DefiLlama.

6 июля злоумышленник манипулировал чистой стоимостью активов двух USDC-хранилищ Lazy Summer Protocol в сети Ethereum и вывел около $6,04 млн в рамках одной атомарной транзакции. Хранилище с более низким риском потеряло примерно $5,64 млн, а продукт с повышенным риском — около $400 000.
Для атаки использовались токены хранилища Silo Varlamore USDC Growth с устаревшей оценкой. Их внесли в стратегию Ark, которую уже выводили из эксплуатации. Депозитный лимит Ark был установлен на ноль, однако стратегию не удалили из активного набора FleetCommander. Поэтому ее активы продолжали учитываться при расчете чистой стоимости долей хранилища.
Ключевым условием атаки стал незавершенный операционный процесс: Ark уже находился на этапе отключения, но все еще влиял на расчет стоимости активов. Отдельной ошибки в коде смарт-контрактов команда не выявила.
Злоумышленник воспользовался этим, чтобы искусственно увеличить оценку активов и получить реальные ликвидные средства из других стратегий, включая Morpho, Spark и Sky. Для проведения операции он привлек флэш-кредиты более чем на $65 млн.
По данным команды, подготовка началась не позднее 6 апреля. Связанные с атакующим кошельки постепенно накапливали токены Silo, которые позднее использовали для манипуляции. После погашения флэш-кредитов злоумышленник конвертировал прибыль в DAI. Часть средств он позднее направил через Tornado Cash с помощью промежуточного кошелька.
Разработчики сообщили, что значительная часть собственных средств команды находилась в пострадавших хранилищах. Финансовые потери лишили проект резервов, необходимых для восстановления, поддержки инфраструктуры и продолжения операционной деятельности.
После атаки все хранилища Lazy Summer Protocol приостановили, а лимиты депозитов в управляемых ДАО продуктах установили на ноль. Организация проводит процедуры, необходимые для возобновления вывода средств и погашения долей по всем хранилищам, включая два пострадавших.
После восстановления соответствующих функций они появятся в интерфейсе Summer.fi. Служба поддержки и Discord проекта продолжат работать до конца августа.
Основатель Aave Стани Кулечов назвал Summer.fi одним из первопроходцев DeFi.
«Это показывает, насколько высоки ставки и издержки при создании качественной и безопасной точки доступа к DeFi. За семь лет многое произошло, и для команды это было хорошее путешествие», — написал он.
Закрытие Summer.fi произошло вскоре после аналогичного решения DeFi-сервиса Zapper. Команда объяснила решение сложными рыночными условиями и неустойчивой бизнес-моделью.
Напомним, в первой половине года криптопроекты лишились около $972 млн в результате 207 инцидентов, подсчитали в Immunefi.