- Post-mortem indica que o invasor preparou o ataque durante cerca de três meses
- Falha veio de processo incompleto de offboarding de estratégia, não do código
- Vault de menor risco concentrou US$ 5,64 milhões dos US$ 6,04 mi drenados
O Summer.fi divulgou o relatório completo sobre o ataque que drenou US$ 6,04 milhões de dois cofres do Lazy Summer Protocol denominados em USDC. A conclusão contraria a leitura inicial do mercado: não foi um golpe oportunista de flash loan, mas uma operação preparada ao longo de aproximadamente três meses.
Segundo o documento, o invasor moveu recursos para diversas carteiras muito antes da execução. O ataque em si aconteceu em 6 de julho, em uma única transação atômica que consolidou meses de acumulação. A equipe também rejeitou hipóteses de chave privada comprometida ou bug no contrato inteligente.
Como o invasor inflou o valor do cofre
O mecanismo do golpe passou pela manipulação do NAV (net asset value) dos dois cofres de USDC. O atacante depositou tokens de um Silo vault com valuation defasada dentro de um Ark que já estava em processo de offboarding e tinha o cap de depósito zerado.
Ainda assim, esse Ark continuava sendo contabilizado no cálculo do preço da cota. Com isso, o preço por share subiu de forma artificial. O invasor então resgatou suas participações pelo valor inflado e retirou o equivalente a US$ 6,04 milhões em USDC das posições líquidas do protocolo.
A distribuição das perdas foi desigual. O Lower Risk USDC Vault concentrou o rombo, com aproximadamente US$ 5,64 milhões desviados. Já o Higher Risk USDC Vault perdeu cerca de US$ 400 mil. Os contratos, segundo o Summer.fi, se comportaram exatamente como haviam sido programados o problema estava no processo operacional que deixou um Ark impaired ativo na contabilidade.
Três meses de preparação e flash loan como coadjuvante
A narrativa inicial nas redes sociais atribuía o ataque a um flash loan clássico. O post-mortem desmonta essa versão. Evidências on-chain mostram que o invasor financiou múltiplas carteiras cerca de três meses antes do incidente e passou esse período acumulando tokens do Silo vault com valuation travada.
Esses tokens foram o insumo essencial para inflar o NAV no dia D. O flash loan entrou apenas como liquidez temporária para fechar a transação final, não como vetor da vulnerabilidade. Ou seja, sem o estoque acumulado durante o trimestre anterior, o golpe não teria como acontecer.
O relatório também esclareceu a captura de tela que viralizou mostrando um APY de cerca de 2,08 milhões por cento. Segundo a equipe, o número decorreu de um pico de um bloco no NAV reportado e nunca representou retorno real de investimento. Foi um artefato da manipulação, não um rendimento distribuído.
Protocolo pausado e decisão nas mãos da governança
Todos os cofres do Lazy Summer Protocol foram pausados e tiveram os limites de depósito zerados enquanto a investigação avança. A governança do projeto agora precisa decidir se compensa os usuários afetados, como remediar os cofres impactados e quando reabrir os mercados que não foram tocados.
Para o investidor brasileiro exposto a DeFi via USDC, o episódio reforça um alerta que se repetiu em 2026. O recorde de hacks no primeiro semestre mostrou que a maior parte dos rombos recentes não veio de linhas de código exóticas, mas de falhas humanas em multisigs, migrações e processos administrativos. O caso do SecondFi na Cardano e o desligamento da Ctrl Wallet seguiram roteiro parecido: contratos funcionando como projetados, mas operação falhando em algum ponto crítico.
Efeito em vaults USDC e em plataformas locais
Vale acompanhar o desdobramento porque o mesmo tipo de estrutura cofres de USDC com múltiplos Arks e rebalanceamento programado é usado por outros protocolos com liquidez relevante. Um eventual efeito de contágio pressionaria taxas de rendimento em stablecoin, cotadas em produtos que também aparecem em plataformas brasileiras de renda em cripto. O detalhamento oficial do incidente está no site do Summer.fi, que centraliza as próximas atualizações da governança.