6-Millionen-Dollar-Exploit zwingt DeFi-Plattform Summer.fi zur Schließung

Angreifer manipulierte Share-Preise in zwei USDC-Vaults
Laut Angaben des Teams nutzte der Angreifer eine Schwachstelle in zwei USDC-Vaults des Protokolls auf der Ethereum-Blockchain aus. Konkret wurde der Share-Preis in beiden Pools manipuliert. Den größten Schaden erlitt der Vault LazyVault_LowerRisk_USDC (Adresse: 0x98C49e13…EcF17) mit einem Nettoverlust von knapp 5,64 Millionen USDC. Der zweite betroffene Vault, LazyVault_HigherRisk_USDC (Adresse: 0xE9cDA459…cB06), verlor rund 0,40 Millionen USDC. Die Gesamtverluste beliefen sich damit auf etwa 6 Millionen US-Dollar.
Eigenes Kapital des Teams ebenfalls betroffen
Besonders schwer wiegt, dass das Summer.fi-Team nach eigenen Angaben einen bedeutenden Teil seines eigenen Kapitals in den betroffenen Vaults hielt. Dieser Verlust entzog dem Unternehmen die finanzielle Grundlage, die für eine Erholung und den Wiederaufbau notwendig gewesen wäre. In einem Blogbeitrag schrieb das Team: „Nach Prüfung aller Alternativen sind wir zu dem Schluss gekommen, dass die Einstellung des Betriebs der einzig gangbare Weg nach vorne ist, auch wenn uns das große Trauer bereitet.“ Das Team bezeichnete den Exploit als einen verheerenden Moment für Nutzer und das gesamte Ökosystem.
DAO arbeitet an Wiederherstellung der Auszahlungsfunktionen
Trotz der Abschaltung ist der Betrieb nicht sofort beendet. Der Lazy Summer DAO arbeitet daran, Auszahlungen und Rücknahmen über alle Vaults wiederherzustellen, einschließlich der beiden vom Exploit betroffenen Pools. Sobald dieser Prozess abgeschlossen ist, soll die vollständige Vault-Funktionalität über die Summer.fi-Oberfläche wiederhergestellt werden. Nutzer behalten damit die Möglichkeit, ihr verbleibendes Kapital abzuziehen.
Summer.fi reiht sich in eine wachsende Liste terminaler Hacks ein
Das Schicksal von Summer.fi ist kein Einzelfall im DeFi-Sektor. Die Plattform, die seit fünf Jahren in Betrieb war, steht stellvertretend für eine Reihe von Protokollen, die einen Sicherheitsvorfall nicht überlebt haben. Radiant Capital stellte im Juni 2025 nach einem Exploit in Höhe von 50 Millionen US-Dollar den Betrieb ein. Step Finance schloss im Februar nach einem Treasury-Hack. In allen drei Fällen erwies sich der jeweilige Angriff als nicht überwindbare Hürde. Das Team verwies in seinem Blogbeitrag zudem auf den breiteren Abschwung im DeFi-Sektor im Zusammenhang mit den Folgen des Stream Finance-Vorfalls vom Oktober 2025 als weiteren belastenden Faktor.
Hintergrund: Vault-Exploits als systemisches DeFi-Risiko
Angriffe auf Vaults, bei denen Angreifer die interne Preisberechnung von Anteilen manipulieren, gehören zu den bekannten Angriffsvektoren im dezentralen Finanzwesen. Solche Exploits zielen darauf ab, durch künstlich verzerrte Share-Preise mehr Vermögenswerte aus einem Pool zu entnehmen, als dem Angreifer tatsächlich zustehen. Für Protokolle ohne ausreichende Absicherung oder Reserven können derartige Angriffe, wie der Fall Summer.fi zeigt, existenzbedrohend sein.



