Key Takeaways:
- Summer.fi는 레이지 서머(Lazy Summer) 볼트에서 발생한 플래시론 익스플로잇으로 약 600만 달러를 손실했습니다.
- 공격자는 6,540만 달러 규모의 Morpho 플래시론을 이용해 볼트 지분 회계를 조작했습니다.
- 공격이 알려진 후 프로토콜의 SUMR 토큰은 18% 이상 하락했습니다.
Key Takeaways:

탈중앙화 금융 프로토콜 Summer.fi가 이더리움 기반 레이지 서머(Lazy Summer) 자동 수익 볼트에서 플래시론 취약점이 악용돼 약 600만 달러를 손실했다. 이에 프로토콜 가디언들은 영향을 받은 모든 볼트를 일시 중단했다.
블록체인 보안업체 Blockaid가 월요일 이른 시간에 이번 익스플로잇을 처음으로 포착했으며, CertiK와 PeckShield가 이후 공격 사실을 확인했다. CertiK에 따르면 공격자는 Morpho에서 조달한 6,540만 달러 규모의 플래시론을 이용해 볼트 운영을 관리하는 스마트 계약인 FleetCommander의 회계 로직을 조작했고, 이를 통해 총자산을 부풀려 단일 원자적 트랜잭션으로 7,090만 달러를 인출했다.
"공격자는 여러 볼트, 특히 Silo: Varlamore USDC Growth 볼트에서 FleetCommander의 totalAssets 회계를 조작했습니다. 해당 볼트에서 공격자는 사전에 자산을 축적한 뒤 중간에 Ark에 기부했습니다."라고 CertiK는 X에 게재했다. 이번 익스플로잇은 LazyVault_LowerRisk_USDC로 알려진 ERC-4626 토큰화 볼트를 대상으로 했으며, 토큰 기부를 통한 알려진 지분 인플레이션 취약점이 악용됐다. 도난당한 자금은 Curve에서 DAI로 스왑된 후 온체인에서 0x7BF…3BDCa로 식별된 공격자 지갑으로 전송됐다.
Summer.fi는 이번 사건을 확인했으며, 프로토콜 가디언들이 추가 손실을 방지하기 위해 피해 볼트를 일시 중단했다고 밝혔다. DefiLlama 데이터에 따르면 이번 익스플로잇 이전 프로토콜의 총 예치 자산(TVL)은 2,200만 달러였다. 공격이 알려진 후 SUMR 거버넌스 토큰은 18% 이상 하락했다. 이번 사건은 Aave 및 Morpho와 같은 대출 시장에서의 자동 리밸런싱이 단일 트랜잭션 블록 내에서 왜곡될 수 있는 복잡한 회계 표면을 생성함에 따라 DeFi 수익률 애그리게이터를 표적으로 삼는 플래시론 공격의 증가하는 패턴에 또 하나의 사례로 추가됐다.
본 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.