Получить консультацию экспертов AML Crypto
6 июля 2026 года в 05:17:59 UTC злоумышленник провёл в сети Ethereum единую атомарную транзакцию, в результате которой два USDC-хранилища Lazy Summer Protocol - Lower Risk и Higher Risk - потеряли около $6,04 млн средств вкладчиков. Атакующий искусственно завысил стоимость долей хранилищ с помощью переоценённых токенов Silo Varlamore, а затем вывел реальную ликвидность из других позиций протокола.

Команда AML Crypto восстановила движение похищенных средств в Bholder.
  • Потерпевший:
    Lazy Summer Protocol (платформа Summer.Fi)
  • Краткая справка:
    Summer.fi — DeFi-платформа, которая к 2026 году сосредоточилась на развитии Lazy Summer Protocol — ончейн-протокола автоматизированных доходных хранилищ. Пользователи вносят активы, например USDC, в так называемые Lazy Vaults, после чего протокол распределяет ликвидность между заранее одобренными DeFi-стратегиями и при необходимости ребалансирует позиции для получения доходности с учётом заданного уровня риска. Отдельные направления размещения капитала внутри системы называются ARKs.

    Ранее Summer.fi также предоставляла сервис SumSummer.fimer.fi Pro для кредитования, заимствования и управления позициями в сторонних протоколах. Однако с 12 февраля 2026 года этот интерфейс был переведён в режим просмотра, а управление такими позициями перенесено в DeFi Saver. После этого основным продуктом Summer.fi стал именно Lazy Summer Protocol.
  • Дата инцидента:
    2026-07-06 05:17:59 UTC
  • Суть инцидента:
    Злоумышленник воспользовался тем, что один из выводимых из эксплуатации инвестиционных модулей — Ark — всё ещё учитывался при расчёте стоимости двух USDC-хранилищ Lazy Summer.

    Атакующий заранее купил почти обесценившиеся токены Silo Varlamore, которые внутри системы продолжали оцениваться значительно выше своей реальной стоимости. Затем он взял флеш-кредит примерно на $65 млн, внёс USDC в хранилища и перевёл переоценённые токены непосредственно в проблемный Ark. Из-за этого протокол ошибочно решил, что стоимость активов хранилища резко выросла, а вместе с ней увеличилась и цена его долей.

    После этого злоумышленник погасил свои доли уже по искусственно завышенной цене. Выплата производилась не проблемными токенами, а настоящими ликвидными USDC, принадлежавшими вкладчикам. Получив средства, атакующий вернул флеш-кредит и сохранил около $6,04 млн прибыли. Вся операция затронула два USDC-хранилища и была выполнена в рамках одной транзакции.

Предпринятые действия на момент написания поста

По состоянию на 10 июля 2026 года после атаки были предприняты следующие меры:
  • Адреса злоумышленника были размечены в блокчейн-аналитических системах. Компания AML Crypto также идентифицировала и пометила основной адрес атакующего, контракт, использованный для проведения атаки, а также связанные с ними адреса.
  • Информация об адресах была передана в IDM. В систему были направлены сведения об адресах злоумышленника и связанных транзакциях для дальнейшего мониторинга и реагирования.
  • Новые депозиты в затронутые хранилища были остановлены. Примерно через полтора часа после атаки Block Analitica установила нулевые лимиты на внесение средств в два пострадавших USDC-вольта.
  • Работа хранилищ Lazy Summer Protocol была приостановлена. Guardian Multisig остановил волты в сетях Ethereum, Base, Arbitrum и Sonic, чтобы исключить повторение атаки через аналогичную конфигурацию Ark. В HyperEVM приостановка через Guardian не сработала из-за отсутствия необходимой роли, однако лимиты депозитов там уже были установлены на ноль.
  • К расследованию была привлечена SEAL 911. Специалисты начали совместно с Summer.fi анализировать механику атаки и отслеживать происхождение использованных злоумышленником средств. В расследовании и трассировке также участвовали или оказывали содействие Blockaid, CertiK, PeckShield, Cyvers и другие команды.
  • Была предпринята попытка связаться со злоумышленником. С адреса деплоера Lazy Summer Protocol атакующему отправили ончейн-сообщение с предложением установить контакт. Публичных подтверждений ответа злоумышленника нет.
  • Переоценённые токены были удалены из расчёта стоимости хранилища. Lazy Summer Foundation перевела токены Silo Varlamore из Lower-Risk USDC Vault на свой мультисиг. Это устранило искусственное искажение отображаемой стоимости активов и цены долей.
  • Продолжено отслеживание похищенных средств. Адрес атакующего и контракт эксплойта были опубликованы, чтобы биржи, аналитические сервисы и другие участники рынка могли отмечать связанную активность. При этом часть средств была переведена через промежуточный адрес в Tornado Cash, что существенно осложнило дальнейшую ончейн-трассировку.
  • Пользователи были предупреждены через интерфейс Summer.fi. В интерфейсе отобразили информацию о приостановке протокола и статусе инцидента. Команда также заявила о продолжении внутреннего технического расследования, подтверждении первопричины атаки и подготовке данных для решений DAO.
  • DAO начала рассматривать дальнейшие действия. На обсуждение были вынесены условия возобновления работы незатронутых хранилищ, порядок возврата оставшегося капитала пользователям и возможное исключение долей злоумышленника из будущих расчётов. На момент публикации окончательное решение о компенсациях принято не было.
Коммуникация со злоумышленником:
По поводу взлома USDC Vault в протоколе Lazy Summer, произошедшего 6 июля 2026 года в 05:17 UTC. Это адрес деплойера Summer. Можем обсудить ситуацию в чате Blockscan? [ссылка]

Печень сервисов, с которыми взаимодействовал злоумышленник

Stargate
  • Характер связи:
    прямой, со вторым адресом, участвовавшим в отмывании похищенных средств.
  • Причина обращения:
    каждая кроссчейн-операция Stargate связана с транзакцией в исходной сети и транзакцией выплаты в целевой сети. Кроме того, интерфейс Stargate позволяет пользователю указать произвольный адрес получателя. В связи с этим сведения о соответствующих операциях могут позволить установить исходную блокчейн-сеть, адрес кошелька, с которого были внесены средства, исходные TxID, LayerZero GUID, указанный пользователем адрес получателя и возможный адрес возврата средств. Просим также предоставить информацию о других операциях, связанных с тем же исходным адресом, и любые доступные технические сведения об инициаторе переводов.
  • Контакты для обращения:
    notices@stargate.finance. Этот адрес указан в официальных Terms of Use Stargate для направления юридически значимых уведомлений и обращений.
Uniswap
  • Характер связи:
    прямой, с обоими адресами, участвовавшими в эксплойте.
  • Причина обращения:
    установленные транзакции могли быть инициированы через официальный веб-интерфейс Uniswap, Uniswap Wallet либо API Uniswap Labs. Согласно Privacy Policy, при подключении некастодиального кошелька Uniswap Labs регистрирует публичный адрес кошелька и может собирать ограниченные технические сведения, включая данные localStorage, mobile device ID, cookies, тип и версию браузера, операционную систему, язык устройства или браузера, а также referring/exit pages.
  • Контакты для обращения:
    Официальные и юридические обращения: legal@uniswap.org
    Обращения в службу поддержки: support@uniswap.org
    Обращения по вопросам хранения и обработки данных: privacy@uniswap.org
    Форма обращения: https://support.uniswap.org/hc/en-us/requests/new
    Почтовый адрес: Universal Navigation, Inc., 228 Park Ave S, PMB 44753, New York, NY 10003, USA.
Curve Fi
  • Характер связи:
    прямой, c одним из адресов, участвовавшем в эксплойте и с адресом, использованным при отмывании похищенных средств.
  • Причина обращения:
    выявленные операции могли быть инициированы через официальный веб-интерфейс Curve Finance. Согласно действующей Privacy Policy Curve, при использовании сайта могут собираться IP-адрес, сведения об операционной системе устройства, cookies, referrer URL, объём переданных данных, посещённые страницы, тип и версия браузера, интернет-провайдер, используемые протоколы и другие технические сведения.
  • Контакты для обращения:
    enquiries@curve.fi — основной адрес, указанный в действующих Terms и Privacy Policy Curve для официальных обращений и вопросов обработки данных.
    security@curve.finance — официальный контакт для обращений по вопросам безопасности и срочной эскалации инцидента.
FixedFloat
  • Характер связи:
    прямой. Горячий кошелёк FixedFloat 0xba3fe475f4617944c6e56d33cd7c2a841aaa8bca предоставил ликвидность в сети Base на адреса 0x34b5f9478fc7bc8c3f065d940afd5cae1890387b и 0x5864a889076b9b4d2929f2e7b990c8076eea3c3c, предположительно контролируемые злоумышленником. Впоследствии полученные средства были направлены в Gas.zip и использованы для финансирования комиссий адресов, задействованных в подготовке и осуществлении эксплойта Lazy Summer Protocol.
  • Причина обращения:
    Согласно Privacy Policy, FixedFloat автоматически собирает IP-адрес, тип браузера, интернет-провайдера, referring/exit pages, дату и время посещения, cookies, log files, tags и pixels. Поэтому также просим предоставить IP-адреса, временные метки, данные браузера и интернет-провайдера, cookie- и session-идентификаторы, сведения об устройстве, историю обращений в поддержку и информацию о других заявках, связанных с теми же техническими идентификаторами, адресами или контактными данными.
  • Контакты для обращения:
    legal@fixedfloat.com — запросы правоохранительных органов;
    compliance@fixedfloat.com — вопросы AML/compliance и приостановленных операций;
    help@fixedfloat.com — обращения потерпевших в связи с преступлениями;
    support@fixedfloat.com — общие обращения и поддержка.
Gaz Zip
  • Характер связи:
    прямой. Адреса 0x34b5f9478fc7bc8c3f065d940afd5cae1890387b и 0x5864a889076b9b4d2929f2e7b990c8076eea3c3c, предположительно контролируемые злоумышленником, направляли ETH на депозитный адрес Gas.zip 0x2a37D63EAdFe4b4682a3c28C1c2cD4F109Cc2762. После обработки депозитов горячий кошелёк Gas.zip 0x5babe600b9fcd5fb7b66c0611bf4896d967b23a1 перечислил ETH на пять адресов, использовавшихся для накопления токенов Silo Varlamore: 0xd39d1733a03f940ce47cec8982e45e6964d29fa1 0xe5bff5a3752d48606d5f4ff19954138fe5e656b1 0x11946f3bb1e67b8f4e50cb01ea1fba7cec7ac60e 0x14ec7a28c020283eb53f302e8dbcc025cb49baf8 0x341a58a1ad7aa1fee212719b0c2d8e4c8e0fd195 Накопленные токены впоследствии были переведены на exploit-контракт 0x0514f827c129c16418a0933e03c99a6af982fc61 и использованы при эксплуатации Lazy Summer Protocol.
  • Причина обращения:
    сервис Gas.zip был использован для распределения средств на адреса, непосредственно связанные с подготовкой эксплойта. Согласно технической документации Gas.zip, депозитная транзакция содержит calldata, в котором указываются целевые сети и адрес получателя, причём адрес получателя может отличаться от адреса, с которого был внесён депозит. Следовательно, внутренние данные Gas.zip могут позволить установить соответствие между входящими депозитами и исходящими выплатами, выбранные пользователем сети и адреса назначения, а также другие операции, совершённые тем же инициатором.
  • Контакты для официальных обращений:
    privacy@gas.zip — официальный адрес для запросов, касающихся персональных данных и технической информации.

Хронология развития событий

  • Этап 0: Накопление токенов Silo Varlamore
2026-03-30 9:31:23
2026-03-30 9:31:23
вывод токенов (накопление) Silo Varlamore на адрес 0x11946f3bb1e67b8f4e50cb01ea1fba7cec7ac60e
с 2026-03-30 2:39:35 по 2026-03-30 3:59:35
с 2026-03-30 2:39:35 по 2026-03-30 3:59:35
вывод токенов (накопление) Silo Varlamore на адрес 0x14ec7a28c020283eb53f302e8dbcc025cb49baf8
2026-04-09 4:06:35
2026-04-09 4:06:35
вывод токенов (накопление) Silo Varlamore на адрес 0xe5bff5a3752d48606d5f4ff19954138fe5e656b1
2026-04-09 4:18:11
2026-04-09 4:18:11
вывод токенов (накопление) Silo Varlamore на адрес 0xd39d1733a03f940ce47cec8982e45e6964d29fa1
2026-04-09 12:00:11
2026-04-09 12:00:11
вывод токенов (накопление) Silo Varlamore на адрес 0x341a58a1ad7aa1fee212719b0c2d8e4c8e0fd195
  • Этап 1: Вывод средств из FixedFloat для оплаты комиссий и осуществления экслойта
2026-04-06 15:43:35
2026-04-06 15:43:35
вывод средств из горячего кошелька FixedFloat на свой аффилированный адрес
2026-04-06 15:46:25
2026-04-06 15:46:25
вывод средств в сервис Gaz Zip для дальнейшего финансирования адреса, который владеет токенами Silo Varlamore
2026-04-06 15:55:25
2026-04-06 15:55:25
вывод средств в сервис Gaz Zip для дальнейшего финансирования адреса, который владеет токенами Silo Varlamore
2026-04-06 16:00:27
2026-04-06 16:00:27
вывод средств в сервис Gaz Zip для дальнейшего финансирования адреса, который владеет токенами Silo Varlamore
2026-04-06 16:13:01
2026-04-06 16:13:01
вывод средств в сервис Gaz Zip для дальнейшего финансирования адреса, который владеет токенами Silo Varlamore
2026-04-06 16:59:59
2026-04-06 16:59:59
вывод средств из горячего кошелька FixedFloat на свой аффилированный адрес
2026-04-09 01:56:37
2026-04-09 01:56:37
вывод средств в сервис Gaz Zip для дальнейшего финансирования адреса, который владеет токенами Silo Varlamore
  • Этап 3: Эксплойт
2026-07-06 5:17:23
2026-07-06 5:17:23
передача токенов Silo Varlamore основному адресу-эксплойтеру
2026-07-06 5:17:59
2026-07-06 5:17:59
эксплойт
  • Этап 4: Отмывание похищенных токенов
2026-07-06 5:17:59
2026-07-06 5:17:59
перевод средств на второй адрес экслойтера
с 2026-07-07 1:38:59 по 2026-07-07 3:47:47
с 2026-07-07 1:38:59 по 2026-07-07 3:47:47
перевод токенов на Uniswap
с 2026-07-08 4:56:47 по 2026-07-09 3:06:11
с 2026-07-08 4:56:47 по 2026-07-09 3:06:11
перевод токенов на смарт-контракт 0x824cb092b6f1dad5bf95b315250479fb38ef069a
с 2026-07-08 4:56:47 по 2026-07-09 3:06:11
с 2026-07-08 4:56:47 по 2026-07-09 3:06:11
перевод токенов на Uniswap
с 2026-07-08 4:56:47 по 2026-07-09 3:06:11
с 2026-07-08 4:56:47 по 2026-07-09 3:06:11
перевод токенов на адрес 0x46e09c4d4d20c0474598b4d2ffdd08bdf416eba7
c 2026-07-07 01:56:35 по 2026-07-09 03:16:47
c 2026-07-07 01:56:35 по 2026-07-09 03:16:47
перевод токенов в Tornado Cash

Заметки аналитика

  • Связь с FixedFloat представляет собой одну из наиболее значимых точек для установления личности злоумышленника. Средства, выведенные с горячего кошелька FixedFloat на адреса 0x34b5f9478fc7bc8c3f065d940afd5cae1890387b и 0x5864a889076b9b4d2929f2e7b990c8076eea3c3c, впоследствии использовались для финансирования инфраструктуры, связанной с подготовкой эксплойта. Получение от FixedFloat данных по соответствующим обменным заявкам - входящих депозитных адресов, исходных активов и сетей, IP-адресов, временных меток, cookie- и session-идентификаторов, сведений об устройстве и связанных операциях - может позволить установить первоначальный источник средств и выявить другие адреса, контролируемые тем же лицом.
  • Gas.zip выступил связующим звеном между первоначальным финансированием и адресами, на которых накапливались токены Silo Varlamore. Через сервис средства были распределены как минимум на пять адресов, которые позднее передали накопленные токены на exploit-контракт. Внутренние данные Gas.zip могут позволить сопоставить входящие депозиты с конкретными выплатами, определить указанные пользователем сети и адреса назначения, а также выявить другие операции, связанные с тем же кошельком, IP-адресом, устройством, сессией или цифровым отпечатком браузера.
  • Хронология указывает на заблаговременную и координированную подготовку атаки. Накопление токенов Silo Varlamore и финансирование связанных адресов начались не позднее конца марта - начала апреля 2026 года, тогда как сам эксплойт был осуществлён 6 июля 2026 года. Значительный временной промежуток между подготовительными операциями и атакой может свидетельствовать о предварительном изучении механики протокола, постепенном накоплении необходимых активов и намеренном разделении функций между несколькими адресами.
  • Переводы через Stargate, несмотря на сравнительно небольшие суммы, могут иметь высокую идентификационную ценность. Кроссчейн-операции позволяют проследить не только выплату в целевой сети, но и связанную с ней транзакцию в исходной сети. Получение данных о source chain, исходном TxID, LayerZero GUID, адресе инициатора и адресе возврата может привести к ранее не выявленному кошельку злоумышленника и расширить исследуемый кластер. Небольшой размер переводов не снижает их значимости, поскольку такие операции могли использоваться исключительно для первоначального финансирования комиссий.
  • Взаимодействия с Uniswap и Curve Finance являются дополнительными потенциальными источниками технической атрибуции. Если операции проводились через официальные интерфейсы, у операторов могли сохраниться технические журналы, связанные с адресами злоумышленника: временные метки, сведения о браузере и устройстве, cookies, session-идентификаторы, referrer URL и иные данные. Однако само взаимодействие со смарт-контрактами не доказывает использование официального веб-интерфейса, поэтому соответствующие запросы должны учитывать эту оговорку.
  • Предварительный анализ Tornado Cash не позволил однозначно установить дальнейших получателей похищенных средств. Были выявлены потенциальные выходы, соответствующие отдельным временным и поведенческим признакам, однако имеющихся данных недостаточно для уверенной атрибуции. Для повышения точности необходимо продолжить мониторинг выходов, сравнивать номиналы, временные интервалы, последовательность дальнейших переводов, используемые сети и сервисы, а также анализировать повторяющиеся модели поведения потенциальных получателей. До появления дополнительных подтверждений такие адреса следует рассматривать только как вероятные, а не установленные выходы злоумышленника.
  • Совокупность установленных связей формирует последовательную цепочку подготовки и реализации атаки: получение первоначального финансирования через FixedFloat, распределение средств через Gas.zip, накопление токенов Silo Varlamore на отдельных адресах, их консолидация на exploit-контракте, осуществление атомарной транзакции и последующее перемещение средств через DEX, кроссчейн-протоколы и Tornado Cash. При этом ончейн-анализ подтверждает движение средств и взаимосвязь адресов, но установление личности контролирующего их лица требует получения внечейн-данных от задействованных сервисов.
  • Заключение по инциденту
    Атака на Lazy Summer Protocol была заранее подготовленной и технически сложной операцией. Злоумышленник в течение нескольких месяцев накапливал токены Silo Varlamore, финансировал связанные адреса и подготавливал инфраструктуру, а затем использовал одну атомарную транзакцию для искусственного завышения стоимости долей двух USDC-хранилищ и вывода около $6,04 млн реальной ликвидности.

    Ончейн-анализ показывает устойчивую связь между адресами первоначального финансирования, сервисами FixedFloat и Gas.zip, адресами накопления токенов, exploit-контрактом и основным адресом-бенефициаром. Это позволяет рассматривать указанные кошельки как единый функциональный кластер, использованный для подготовки, проведения и последующего сокрытия следов атаки.

    Наиболее перспективными источниками дальнейшей атрибуции являются внечейн-данные FixedFloat, Gas.zip и Stargate: сведения об обменных заявках, исходных депозитах, кроссчейн-транзакциях, IP-адресах, устройствах, сессиях и связанных операциях. Эти данные могут помочь установить первоначальный источник средств, дополнительные адреса и возможную личность злоумышленника.

    После эксплойта средства перемещались через Uniswap, Curve Finance, Stargate и Tornado Cash. Использование децентрализованных протоколов и миксера существенно усложнило дальнейшую трассировку, однако отдельные временные, суммовые и поведенческие паттерны сохраняют аналитическую ценность.

Адреса злоумышленнника

Транзакции, аффилированные с эксплойтом

Хотите узнать больше и получить консультацию экспертов? Оставьте email и мы с вами оперативно свяжемся!
Смотрите также