À retenir
- Environ 6 millions de dollars ont été dérobés lors de l’exploitation de Summer.fi, après un prêt éclair d’environ 65,4 M$ selon CertiK.
- Le vault le plus touché est LazyVault_LowerRisk_USDC (LVUSDC), dont l’APY a brièvement atteint ~2,08 millions %.
- La TVL de Summer.fi était d’environ 22 M$ avant l’attaque et le token SUMR a chuté de plus de 18 % après l’annonce.
- L’attaquant a exploité une faille de comptabilité entre vaults et stratégies (notamment « Fleet Commander » / stratégie « Ark ») sans vol de clés ou privilèges admin.
Hack Summer.fi : ce que l’on sait au moment des faits
Summer.fi (ex-Oasis.app) a subi une exploitation ayant vidé environ 6 millions de dollars de ses coffres de rendement sur Ethereum.[1][2] L’alerte a d’abord été donnée par Blockaid sur X, puis confirmée par l’équipe Summer.fi.[1][2]
Blockaid a partagé les principales données on-chain :
- adresse de l’attaquant : 0x7BF7…BDCa
- contrat d’exploit : 0x0514…FC61
- trois coffres Lazy Summer touchés, dont le principal vault USDC.[1][8]
💡 À retenir
- la transparence on-chain permet à la communauté de suivre le hacker ;
- elle facilite les analyses indépendantes et la coordination entre protocoles.[1][5]
Le coffre le plus touché est LazyVault_LowerRisk_USDC (LVUSDC), présenté comme un coffre USDC à « faible risque », basé sur la gestion de risque de Block Analitica.[1] Au début de l’attaque, l’APY de ce vault a brièvement atteint ~2,08 millions %, révélant une manipulation interne du calcul de rendement.[1][2]
En réaction, les gardiens ont :
- mis en pause les coffres Lazy Summer ;
- étendu ensuite la pause à tous les vaults pour éviter toute propagation et enquêter sur la cause profonde.[2][6][7]
📊 Donnée clé
- TVL avant attaque : ~22 M$ (DeFiLlama) ;
- le token SUMR a chuté de plus de 18 % peu après l’annonce, malgré un marché global légèrement haussier.[2][5]
Un gestionnaire de trésorerie DeFi affirme avoir clos ses positions dès qu’il a vu l’APY LVUSDC devenir « absurde », soulignant l’utilité de ces signaux extrêmes sur l’interface.
Comment l’attaque a été menée : prêts éclair et faille de comptabilité
Les premières analyses convergent :
- pas de vol de clés privées ;
- pas d’abus de privilèges admin ;
- exploitation d’une vulnérabilité dans la logique de comptabilité des vaults USDC automatisés, liée au calcul des parts et de la liquidité disponible.[3][4]
Selon CertiK, l’attaquant a pris un prêt éclair d’environ 65,4 M$, surtout en USDC, complété par de l’USDT.[3][7] Ces fonds ont permis de :
- gonfler artificiellement les actifs des coffres ;
- puis retirer plus que la valeur réellement déposée par les utilisateurs.[3]
📊 Donnée clé
CertiK estime le profit net à ~6 M$ après remboursement du prêt éclair, pour un emprunt temporaire de plus de 65 M$.[3][7]
Une analyse détaillée met en cause le coffre « Fleet Commander » et sa stratégie « Ark » :
- en manipulant la confiance du vault envers ce contrat de stratégie,
- l’attaquant aurait fait apparaître ~7,14 M$ d’actifs rapportés,
- ce qui lui a permis de racheter près de 71 M d’USDC dans la même transaction.[4]
⚠️ Point clé
- une hypothèse erronée de « confiance » entre modules (vaults et stratégies) suffit à créer une faille majeure, même sans bug cryptographique.[4][7]
Concrètement, l’attaquant a enchaîné dépôts, remboursements et retraits à travers Lazy Summer et VaultV2, profitant de la façon dont :
- soldes,
- parts,
- et liquidités disponibles
étaient calculés dans une seule transaction atomique.[3] En fin d’opération, ~6 M$ restaient sur le contrat d’exploit après remboursement du prêt.[3][7]
Les fonds volés ont ensuite été :
- convertis en DAI via Curve ;
- envoyés vers le portefeuille contrôlé par le hacker.[2][5][7]
La conversion en stablecoin à faible volatilité stabilise la valeur volée tout en compliquant légèrement le traçage.
Conséquences, risques pour les utilisateurs et enjeux de sécurité DeFi
Les utilisateurs les plus touchés :
- déposants USDC dans les coffres Lazy Summer ciblés ;
- en particulier LazyVault_LowerRisk_USDC.[1][8]
Un déposant majeur y avait placé ~8,6 M d’USDC, montrant une forte concentration de risque.[1][8]
💼 Exemple concret
Pour une DAO ayant parqué l’essentiel de ses stablecoins dans un seul vault « faible risque », une telle exploitation peut effacer en quelques blocs plusieurs mois de trésorerie opérationnelle.
Summer.fi indique que la cause profonde est encore étudiée, mais les chercheurs soulignent :
- une faiblesse de la logique de comptabilité ;
- couplée à des prêts éclair via Morpho pour manipuler les coffres USDC.[2][3][5]
L’affaire rappelle que même des contrats audités et largement adoptés peuvent garder des vecteurs d’attaque subtils.
Cette attaque s’inscrit dans une série d’exploits DeFi via prêts éclair :
- aucune clé privée n’est nécessaire ;
- une simple faille logique dans la comptabilisation des actifs et parts de vaults peut suffire à détourner plusieurs millions en une transaction.[4][7]
⚠️ Point clé pour les utilisateurs
Pour réduire le risque, il est essentiel de :
- diversifier les plateformes de rendement, éviter le « all-in » sur un seul vault ;[2]
- surveiller les signaux on-chain anormaux (APY ou TVL qui explosent sans annonce) ;[1][5]
- suivre les alertes de firmes de sécurité comme Blockaid, PeckShield ou CertiK.[1][2][8]
Pour les développeurs DeFi, le cas Summer.fi souligne la nécessité de :
- modéliser précisément les scénarios de prêts éclair ;
- isoler les modules de comptabilité ;
- limiter la confiance implicite entre vaults et stratégies ;
- tester régulièrement les mécanismes de pause d’urgence en conditions de stress.[3][6][7]
Conclusion : leçons à tirer pour investisseurs et bâtisseurs DeFi
L’exploit en cours sur Summer.fi montre la fragilité des logiques de comptabilité dans les protocoles de rendement automatisé : en combinant prêts éclair massifs, manipulation de relations de confiance entre modules et erreurs de calcul des parts, un attaquant peut extraire plusieurs millions sans toucher aux clés privées.[3][4][7]
Pour les investisseurs :
- traiter avec prudence le label « faible risque » ;
- diversifier les dépôts ;
- considérer APY ou TVL anormaux comme des signaux d’alerte immédiats.[1][2][5]
Pour les bâtisseurs :
Sources & Références (8)
- 1Hack du protocole DeFi Summer.fi ; 6 millons de dollars volés
Summer.fi aurait été victime d'un hack, avec environ 6 millions de dollars drainés jusqu'à présent. Blockaid a signalé le hack dans un post sur X lundi. La société de sécurité a publié l'adresse du ha...
- 2Le protocole DeFi Summer.fi suspend les coffres Lazy Summer après une exploitation de 6 millions de dollars
Summer.fi, un protocole de finance décentralisée, a suspendu ses coffres Lazy Summer après qu’une faille ait permis de dérober environ 6 millions de dollars de sa plateforme de rendement Ethereum-base...
- 3Summer.fi DeFi Protocol Suffers Exploit, Hacker Steals $6 Million
Auteur: Nazar Pyrih Date: 06.07.2026 La plateforme DeFi Summer.fi a été la cible d'une attaque, l’attaquant ayant emporté environ 6 millions de dollars. L’attaque n’est pas liée à une compromission d...
- 4Another $6 Million just vanished from DeFi.
Another $6 Million just vanished from DeFi. DeFi protocol Summer.fi has reportedly been exploited, with roughly $6 million drained, according to Blockaid. The attacker used a $64.8 million USDC flas...
- 5DeFi protocol Summer.fi halts Lazy Summer vaults after $6 million exploit
By Francisco Rodrigues | Edited by Cheyenne Ligon Jul 6, 2026, 1:42 p.m. Decentralized finance protocol Summer.fi has paused its Lazy Summer vaults after an exploit that drained about $6 million from...
- 6Summer.fi hack concerns rose after CertiK said a suspicious transaction used a $65.4 million flash loan to make about $6 million.
Summer.fi, the DeFi yield platform previously known as Oasis.app, paused all vaults after researchers reported a suspicious transaction that used a $65.4 million flash loan to generate about $6 millio...
- 7DeFi Protocol Summer.fi Hacked for $6 Million
Le protocole DeFi Summer.fi a été piraté pour un montant de 6 millions de dollars. Le 6 juillet 2026, les développeurs du protocole Summer.fi ont annoncé l’exploit et ont indiqué qu’ils enquêtaient s...
- 8Hackers Reportedly Drain $6 Million From DeFi Protocol Summer.fi
Hacker at a computer draining crypto wallets. Photo by BeInCrypto **Summer.fi has reportedly been exploited, with roughly $6 million drained so far. Blockaid flagged the exploit in a post on X on Mon...
Questions fréquentes
Que s’est‑il passé exactement lors du hack Summer.fi ?
Comment les prêts éclair ont‑ils permis ce vol ?
Que doivent faire les utilisateurs et les développeurs après cet incident ?
Généré par CoreProse in 8m 24s
Quel sujet voulez-vous couvrir ?
Obtenez la même qualité avec sources vérifiées sur n'importe quel sujet.