- Blockaid estima dreno de US$ 6 milhões em cofres do Lazy Summer Protocol
- Summer.fi pausa todos os vaults e investiga causa raiz do ataque
- Exploit expõe camada de agentes de IA que realocam capital sem aprovação do usuário
O protocolo Summer.fi virou o novo capítulo do risco de DeFi automatizada. A empresa de segurança Blockaid informou, em 6 de julho, que seu sistema de detecção identificou um exploit em andamento nos cofres do Lazy Summer Protocol, com perdas estimadas em cerca de US$ 6 milhões no momento do alerta.
Assim, a transação maliciosa foi confirmada na rede Ethereum às 05h17 UTC daquele domingo, segundo registro no Etherscan. Em publicação subsequente, a Blockaid divulgou o endereço do atacante, o contrato usado no ataque e os contratos afetados do Summer.fi e do Lazy Summer.
Horas depois, a equipe do Summer.fi reconheceu o incidente. Os guardiões do protocolo acionaram a pausa em todos os cofres do Lazy Summer Protocol enquanto a causa raiz é investigada. O valor final do prejuízo só será conhecido após o relatório oficial.
A camada invisível que o usuário não vê

O ataque revelou uma fronteira que raramente aparece na interface. A documentação oficial descreve o Lazy Summer como um protocolo do tipo “deposite e esqueça”, baseado em cofres automatizados, rebalanceamento contínuo e exposição simplificada ao rendimento em DeFi.
Por trás dessa promessa, existe uma arquitetura em camadas. Os chamados Fleets reúnem três papéis: o Fleet Commander, que administra depósitos, saques e alocação; os ARKs, que executam estratégias de yield; e o RAFT, responsável por coletar e recompor recompensas. Cada engrenagem depende da outra para funcionar.
Acima dessa estrutura opera ainda uma camada de agentes de inteligência artificial. Os chamados Keeper AI Agents podem realocar capital entre ARKs dentro de limites definidos pela governança — teto de movimentação, frequência de rebalanceamento e ativos permitidos. É essa fronteira, entre automação e execução, que o ataque expôs.
Quando automação vira superfície de ataque
Assim, ao depositar em um cofre automatizado, o usuário terceiriza várias decisões ao mesmo tempo: contabilidade de cotas, escolha de estratégia, execução do keeper, limites de governança e controles de emergência. Nada disso passa por aprovação manual quando o capital se movimenta.
Além disso, auditorias e o programa de bug bounty na Immunefi seguem como parte relevante do arsenal de segurança do Summer.fi. Ainda assim, o episódio mostra que a legibilidade do sistema — onde termina a automação e começa a exposição do depositante — precisa estar clara antes do ataque, não depois.
Levantamento recente da CryptoSlate apontou que as perdas conhecidas em hacks de DeFi somaram US$ 780,3 milhões no segundo trimestre. O risco de exploit deixou de ser evento excepcional e passou a compor o cálculo de rendimento efetivo de qualquer estratégia on-chain.
Post-mortem vai definir alcance do problema
Assim, o próximo marco é a análise técnica que o Summer.fi deve publicar. Se a falha estiver contida em um contrato específico, o caso vira teste de controles de emergência. Se atingir contabilidade de cotas, permissões ou o mecanismo de movimentação entre estratégias, o alerta se estende a todo o segmento de cofres automatizados com agentes de IA — categoria que cresceu ao longo de 2026 como resposta à complexidade operacional do ecossistema Ethereum.