Summer.fi pausó sus bóvedas Lazy Summer después de un exploit que drenó aproximadamente 6 millones de dólares de la plataforma de rendimiento basada en Ethereum, según el proyecto y firmas de seguridad blockchain citadas por CoinDesk. La medida buscó contener nuevas pérdidas mientras el protocolo investigaba el ataque.
El caso importa porque vuelve a poner en primer plano los riesgos operativos de las estrategias DeFi automatizadas. Lazy Summer está diseñado para mover depósitos entre mercados de préstamo como Aave y Morpho en busca de mejores rendimientos, con rebalanceos gestionados por la propia plataforma; cuando esa lógica falla, el impacto puede alcanzar tanto a usuarios como a la confianza del mercado en productos de yield automatizado.
La actividad sospechosa fue señalada primero por Blockaid, mientras PeckShield y CertiK también reportaron movimientos inusuales. Summer.fi confirmó después que estaba investigando el ataque y dijo que los guardianes del protocolo habían pausado las bóvedas afectadas para evitar pérdidas adicionales.
Los análisis iniciales indican que el atacante utilizó un gran préstamo flash, presuntamente originado a través de Morpho, para manipular la lógica contable de las bóvedas automatizadas en USDC de Lazy Summer. De acuerdo con el investigador DeFi Bhari, el fallo permitió inflar artificialmente los activos totales y luego canjearlos con ganancia neta.
Los fondos robados aparentemente fueron convertidos a DAI en Curve antes de ser transferidos a la billetera del atacante. Antes del exploit, Summer.fi tenía 22 millones de dólares en valor total bloqueado, según datos de DeFiLlama citados por CoinDesk, y el token SUMR perdió más de 18% tras conocerse el incidente.