Ce qu’il faut retenir :
- Le protocole DeFi Summer Finance a été exploité pour 6 millions de dollars ce lundi matin.
- L’attaquant a utilisé un prêt flash de 65,4 millions de dollars pour manipuler la comptabilité des vaults.
- Summer.fi n’a pas encore confirmé l’attaque et la cause exacte reste inconnue.
Summer Finance, aussi connu sous le nom de Summer.fi, vient d’allonger la liste des protocoles DeFi piratés en 2026. La plateforme d’optimisation de rendement a été vidée de 6 millions de dollars ce lundi matin, selon plusieurs analystes onchain. La société de sécurité Blockaid a donné l’alerte la première, avant que Cyvers et CertiK ne détaillent le mode opératoire.
Comment l’attaquant a-t-il siphonné 6 millions de dollars ?
D’après CertiK, le pirate a utilisé un prêt flash de 65,4 millions de dollars, c’est-à-dire un emprunt contracté et remboursé dans la même transaction, sans aucun collatéral. Après un dépôt de 64,8 millions de dollars, il a obtenu un remboursement de 70,9 millions de dollars en manipulant la façon dont le Lazy Summer Protocol comptabilise les actifs de ses vaults, empochant la différence.
Concrètement, l’attaquant a faussé le calcul des actifs totaux du FleetCommander, le smart contract qui gère les coffres du protocole, en ciblant plusieurs vaults dont Silo : Varlamore USDC Growth. Il avait accumulé des positions en amont, puis fait un don à l’Ark, le contrat qui relie un vault à une plateforme de prêt, pour fausser la comptabilité au moment décisif. Cyvers précise que les fonds volés ont été convertis en stablecoin DAI avant d’être transférés vers une adresse contrôlée par le pirate.
Un protocole piloté par des agents IA
Le Lazy Summer Protocol se présente comme un optimiseur de rendement automatisé : des “keepers” dopés à l’intelligence artificielle répartissent et rééquilibrent en continu les dépôts des utilisateurs entre plusieurs plateformes de prêt à haut rendement. C’est précisément ce mécanisme de comptabilité automatisée que l’attaquant a retourné contre le protocole.
Et maintenant ?
Summer.fi n’a toujours pas confirmé l’exploit sur ses canaux officiels et la cause racine n’est pas établie avec certitude, rapporte The Block. Les prochaines heures diront si l’équipe gèle certaines fonctions du protocole, tente de négocier avec le pirate ou publie un post-mortem. Les fonds, désormais en DAI, restent traçables onchain : les analystes surveillent la moindre tentative de blanchiment.
Cet article vous a plu ? Recevez les prochains par email
Rejoignez +40 000 abonnés. L'essentiel du marché crypto dans votre boîte mail, tous les 2 jours.