Blockaidがエクスプロイトを検知
ブロックチェーンセキュリティ企業ブロックエイド(Blockaid)が、分散型金融(DeFi)プロトコル「サマー・ファイ(Summer.fi)」に関連するイーサリアム(Ethereum)上のコントラクトで、進行中のエクスプロイト(脆弱性を悪用した攻撃)を検知したと7月6日に報告した。同社によると、約600万ドル(約9.7億円)相当の暗号資産(仮想通貨)が流出したという。
その後、サマー・ファイは同エクスプロイトを認識したことを明らかにし、原因調査のため「レイジー・サマー・プロトコル(Lazy Summer Protocol)」の全ボールト(Vault)を一時停止した。
サマー・ファイは、ユーザーがボールトに預け入れた暗号資産を、複数のDeFiプロトコルへ自動で振り分け、より高い利回りを目指す資産運用インターフェースを提供するプロジェクトだ。今回影響を受けたレイジー・サマーは、その中でも運用先の選定や資産配分を自動化するDeFi利回りプロトコルとなっている。
ブロックエイドは、攻撃に利用されたトランザクションや攻撃者アドレス、影響を受けたコントラクトなどを公開した。その後、ペックシールド(PeckShield)やサイバーズ(Cyvers)、サーティック(CertiK)など複数のブロックチェーンセキュリティ企業も被害や初期分析を報告している。
現時点でサマー・ファイは攻撃の詳細な原因を公表していない。一方、セキュリティ企業や研究者による初期分析では、レイジー・サマーの資産管理の仕組みが悪用され、本来受け取れる以上の資産が不正に引き出された可能性が指摘されている。具体的には、攻撃者がボールト内の資産価値を計算するロジックを一時的に操作し、不正な償還を行った可能性があるという。
また、セキュリティ研究者バーリ(Bhari)氏は、同攻撃を再現する概念実証(PoC)の作成に成功したと報告している。ただし、これは第三者による分析であり、サマー・ファイは根本原因について引き続き調査を進めている。 ・サマー・ファイは、「報告されたエクスプロイトを認識しており、根本原因を調査している。新たな情報が判明し次第公表する」と説明している。
🚨Blockaid’s exploit detection system has identified an ongoing exploit on @summerfinance_.
— Blockaid (@blockaid_) July 6, 2026
~$6M drained so far.
More details in 🧵
We are aware of the reported exploit a little earlier today and are investigating the root cause. The protocol guardians are currently pausing all Vaults across the Lazy Summer Protocol.
— Summer.fi ☀ (@summerfinance_) July 6, 2026
We will provide more updates as we have them.
🚨 https://t.co/XX4a4QnFRO / Lazy Summer hacked ~$6M
— ₿hari (@gowdabhari) July 6, 2026
I built a full working PoC. Here’s how it worked 🧵
forge test → [PASS] 5,597,682 DAI profit reproduced exactly
The exploit required:
✅ Uniswap V4 unlock-callback swap
✅ Balancer V3 StablePool
✅ Nested Morpho flash loans… https://t.co/0Hyi0I33Cl
画像:PIXTA