Summer fi:Lazy Summer攻击并非合约漏洞,而是NAV机制被利用
Summer.fi发布Lazy Summer Protocol USDC金库攻击事件分析报告。7月6日,攻击者在单笔原子交易中操纵两个USDC金库份额价格,提取约604万美元存款人资金。攻击核心在于金库资产净值(NAV)计算方式。攻击者向一个在2025年11月事件后被暂停但尚未完全移除的Silo Ark捐赠了仍保留旧有估值的代币,导致金库总资产虚增约9.5%,份额价格被抬高,随后以虚高价格赎回并从金库真实流动性中提款。报告强调,该攻击并非合约代码漏洞,而是金库下线流程中环节缺失所致——该Ark存款上限已被设为零,但仍在活跃资产集中被计入NAV。