
6 июля 2026 года в один день пострадали два совершенно разных протокола на двух разных блокчейнах. В Summer.fi злоумышленник нашёл способ исказить расчёт долей хранилища и вывел $6 млн. В BonkDAO атакующие просто купили право голоса на бирже и проголосовали за перевод $20 млн из общей казны себе. Суммарный ущерб за сутки — около $26 млн.
Summer.fi: принудительный сдвиг ликвидности исказил расчёт долей — $6 млн
Дата: 6 июля 2026
Сеть: Ethereum
Транзакция: 0x0db528c44f23fc7fa4544684a2fab81096450a14aae8bc89f42cd0592d43da12
Что произошло
Summer.fi — протокол управления ликвидностью на Ethereum. Пользователи вносят USDC в vault-хранилища и получают взамен доли — это как акции фонда: доля показывает, какая часть хранилища принадлежит конкретному вкладчику. При выводе средств доли сжигаются, и пользователь получает обратно активы.
Злоумышленник воспользовался функцией forceDeallocate — механизмом принудительного перемещения ликвидности между частями системы. Это служебная функция, предназначенная для перебалансировки. Атака строилась в три этапа.
1️⃣ Мгновенный кредит и подготовка. Злоумышленник взял флэш-лоан — кредит без залога на время одной транзакции — около 65,5 млн USDC и 1 млн USDT через платформу Morpho. Небольшими суммами внёс их в связанные хранилища и получил доли.
2️⃣ Искажение состояния через forceDeallocate. Используя функцию принудительного перемещения ликвидности, злоумышленник вывел часть ликвидности из системы. При этом часть его долей была сожжена как штраф (penalty) за принудительный вывод — это плановый механизм. Но именно это сожжение изменило соотношение между оставшимися долями и активами в хранилище: теперь каждая доля стоила больше, чем должна была.
3️⃣ Крупный депозит и вывод по выгодному курсу. Подготовив такое состояние, злоумышленник внёс крупную сумму в Summer.fi и сразу вывел её — уже по выгодному для себя расчёту долей. Из хранилища вышло около 71 млн USDC, кредит был погашен, а ~6 млн USDC — разница — остались у атакующего. Они были конвертированы в DAI (стейблкоин, привязанный к доллару) и переведены на кошелёк злоумышленника 0x7BF716167B48CF527725722C6d79494b45B3BDCa, где на момент расследования остаются без движения.
Почему это стало возможным
Функция forceDeallocate была нужна для технической перебалансировки системы — но она влияла на соотношение долей и активов. Этот эффект не был достаточно защищён от намеренной манипуляции: злоумышленник использовал штрафное сжигание долей как инструмент для изменения расчётного курса в свою пользу, а не как непредвиденный побочный эффект.
BonkDAO: токены управления купили на бирже — и проголосовали за вывод $20 млн из казны
Дата: 6 июля 2026
Сеть: Solana
Транзакция: 5tPU1srcRcnmibB7KJi2WQ7cK4zuq5iKTMrSCLjq7hvGjuK4KUTmaHfwicixkJa5jZJmp3y98T7r2qecKV5mWw8P
Что произошло
BonkDAO — децентрализованная организация в сети Solana, управляемая через голосование держателей токенов BONK. DAO (Decentralized Autonomous Organization) — это структура без единого руководителя: все решения принимаются коллективно, каждый владелец токенов может голосовать. Чем больше токенов — тем больше голосов.
Логика правильная — но работает только если токены управления широко распределены и их сложно сконцентрировать в одних руках. В случае BonkDAO это оказалось слишком просто.
1️⃣ Покупка права голоса. За несколько дней до атаки адрес CyEE7oHVDaFJ5xZLbXY3h2Z2uk1VwhTkdy72kPUEtypQ купил на биржах около 882 млрд токенов BONK — примерно на $4 млн. Токены были «залочены» в системе управления, то есть заблокированы для получения права голоса.
2️⃣ Создание вредоносного предложения. Адрес 8xxRdtzsw1CJWfEahViqNjZwh5dYJAdSbBctWwcbycVo создал governance proposal — предложение о переводе средств из казны BonkDAO на подконтрольный адрес.
3️⃣ Голосование и мгновенное исполнение. Купленные токены обеспечили нужное большинство голосов. Предложение прошло — и сразу же было исполнено: из казны BonkDAO перевели около 4,43 трлн токенов BONK на сумму около $20 млн.
4️⃣ Возврат «инвестиции». Сразу после исполнения предложения адрес, который голосовал, вывел обратно залоченные токены и вывел их на биржи: около 302 млрд BONK — через Bybit, около 580 млрд BONK — на Binance.
Почему это стало возможным
Система голосования BonkDAO имела три критических слабости одновременно.
Во-первых, низкий кворум — для принятия решения хватало около 1% от общего количества токенов. Это означало, что купить нужное количество голосов было относительно дёшево.
Во-вторых, не было timelock — временной задержки между принятием предложения и его исполнением. В нормально настроенном DAO между голосованием и исполнением проходит несколько дней: за это время сообщество может заметить вредоносное предложение и заблокировать его. Здесь такой возможности не было.
В-третьих, недавно купленные и сразу залоченные токены давали полноценное право голоса без какого-либо «периода ожидания». Это исключало возможность сообщества отреагировать на подозрительную концентрацию токенов перед голосованием.
Движение средств
Из казны BonkDAO около 4,43 трлн BONK поступили на адрес 9bxWkNf3BtJ6iehq9KbX9uCWMjem4TFiPZ19T2sYJHvQ. Оттуда:
— 40 млрд BONK отправлены на адрес Dd4vDG5veWZ9okSQHQuYYzRChwPG1AYixt9tehVrBnn7 и выведены на биржу OKX
— около 4,39 трлн BONK остаются на адресе EXaJnmrLf7RAKLfn1hehoKX94keKYmvZm5H5zuYVeh42 без движения на момент расследования
Купленные для голосования токены (~882 млрд BONK) после исполнения предложения были выведены: ~302 млрд через 9hKaJu8vwnfrJq6KR7Qq3XexWq6goC6kmj8PadXmP4hd на Bybit, ~580 млрд — на Binance.
Заключение
Два инцидента в один день — два принципиально разных подхода к атаке.
В Summer.fi злоумышленник глубоко разобрался во внутренней механике хранилищ и нашёл способ использовать штатную функцию системы как инструмент манипуляции расчётом. Это технически сложная атака, потребовавшая точного понимания логики протокола.
В BonkDAO никакой технической сложности не было вовсе. Атакующие просто купили право голоса на открытом рынке — и системе управления оказалось нечего противопоставить. $4 млн вложений принесли $20 млн из казны.
Средства из Summer.fi остаются на кошельке злоумышленника без движения. Большая часть BONK из BonkDAO также остаётся на известном адресе. Команда «КоинКит» продолжает отслеживать движение средств по обоим инцидентам.


