Puntos clave de la noticia:
- Summer Finance sufrió un exploit por $6 millones mediante un ataque de flash loan que manipuló la contabilidad de activos en sus vaults.
- El atacante usó un préstamo relámpago de $65,4 millones para obtener una redención de $70,9 millones, obteniendo una ganancia neta de $6 millones.
- El sector DeFi registra 121 hackeos y casi $942 millones en pérdidas en lo que va del año: El TVL cayó de $115.000 millones a $70.000 millones.
El protocolo de optimización de rendimiento DeFi Summer Finance, sufrió un exploit por aproximadamente $6 millones, robados a través de un sofisticado ataque de flash loan. La firma de seguridad blockchain Blockaid fue la primera en detectar la filtración, mientras que otros analistas aportaron detalles técnicos adicionales sobre el vector de ataque.
Según la firma de seguridad CertiK, el atacante tomó un flash loan de $65,4 millones para lograr una redención de $70,9 millones, aprovechando algunas vulnerabilidades en la forma en que el Lazy Summer Protocol de Summer.fi contabilizaba los activos dentro de sus vaults.
We are aware of the reported exploit a little earlier today and are investigating the root cause. The protocol guardians are currently pausing all Vaults across the Lazy Summer Protocol.
We will provide more updates as we have them.
— Summer.fi ☀ (@summerfinance_) July 6, 2026
El protocolo opera como un sistema automatizado de optimización de rendimiento que emplea agentes de inteligencia artificial para reasignar dinámicamente los depósitos de usuarios entre plataformas de lending de alto rendimiento.
«El atacante pudo rescatar $70,9 millones tras hacer un depósito de $64,8 millones gracias a la manipulación de la contabilidad de totalAssets() del FleetCommander en una serie de vaults, particularmente Silo: Varlamore USDC Growth, que el atacante había acumulado previamente y donado al Ark», explicó CertiK. El FleetCommander es el contrato inteligente que gestiona los vaults, mientras que el Ark es el contrato que conecta un vault con un protocolo de lending.
🚨Blockaid's exploit detection system has identified an ongoing exploit on @summerfinance_.
~$6M drained so far.
More details in 🧵— Blockaid (@blockaid_) July 6, 2026
Summer Cayó por Una Falla en la Contabilidad, no en las Claves
La firma Cyvers precisó que el ataque apuntó a una vulnerabilidad de contabilidad de participaciones mediante manipulación de precios. Los fondos robados —aproximadamente $6 millones— fueron convertidos a la stablecoin DAI y transferidos a una dirección controlada por el atacante.
🚨ALERT🚨Our system has detected a suspicious transaction involving @summerfinance_ with an estimated loss of $6M.
An address funded via #FixedFloat on #Base executed a suspicious transaction on the #ETH network.
Root cause: The attacker appears to have exploited a share… pic.twitter.com/oS1OE5vGYh
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) July 6, 2026
Por su parte, el fundador de Phylax Systems, Odysseas Lamtzidis, publicó un análisis técnico que indica que el exploit de Summer Finance se originó en fallas dentro de la contabilidad de vaults en la misma transacción y en supuestos incorrectos sobre liquidez, descartando que se hayan comprometido claves privadas o privilegios de administrador.
1/ Attacker was able to redeem $70.9M following $64.8M deposit thanks to manipulation of FleetCommander's accounting of totalAssets() on a host of vaults, particularly Silo: Varlamore USDC Growth, which the attacker had accumulated beforehand and donated to the Ark in between. pic.twitter.com/x2eeKlWy3n
— CertiK Alert (@CertiKAlert) July 6, 2026
El incidente se suma a la larga lista de incidentes del 2026. Según CryptoRank, en lo que va del año se registraron 121 hackeos en el sector DeFi, registrando pérdidas cercanas a los $942 millones.

El segundo trimestre fue el escenario de 85 exploits y aproximadamente $775 millones en daños, aunque el grueso de las pérdidas se atribuye a dos ataques masivos en abril: Drift Protocol y KelpDAO perdieron juntos cerca de $590 millones en fondos, ambos vinculados por TRM Labs y Chainalysis a grupos de hackers respaldados por Corea del Norte.





