Le protocole décentralisé Summer Finance, anciennement Oasis.app, a subi une perte de 6 millions de dollars le 6 juillet 2026. L’exploit s’est concentré sur son produit Lazy Summer Protocol, un module de levier automatisé. La société de sécurité Blockaid a confirmé l’incident et diffusé l’adresse de l’attaquant.

Au programme

  • 6 M$ siphonnés via un flash loan de 65,4 M$ sur Lazy Summer Protocol
  • L’attaquant a manipulé le taux de change d’un jeton LP, une mécanique similaire aux précédents piratages DeFi
  • Blockaid a partagé les adresses des contrats malveillants, mais la méthode exacte de l’exploit reste à confirmer

Comment l’attaquant a-t-il siphonné 6 millions de dollars ?

L’attaque s’est déroulée en plusieurs étapes techniques. L’attaquant a obtenu un prêt éclair de 65,4 millions de dollars sur la blockchain Ethereum, puis l’a utilisé pour déclencher un remboursement de 70,9 millions de dollars sur le Lazy Summer Protocol. La différence, soit environ 5,5 millions de dollars, provient d’une manipulation de l’oracle de prix du jeton LP concerné.

L’attaquant a artificiellement gonflé la valeur d’un jeton de liquidité (LP) pour emprunter des actifs bien au-delà du montant du collatéral déposé. Cette technique rappelle le récent piratage de Scallop sur SUI, où un contrat obsolète avait aussi été ciblé.

Pourquoi les flash loans restent-ils le vecteur d’attaque privilégié ?

Les prêts éclair continuent de dominer les piratages dans la finance décentralisée. Un rapport récent de TRM Labs dénombre plus de 400 millions de dollars perdus via cette méthode en 2026. Leur principe est simple : emprunter sans collatéral, exécuter une série d’opérations, et rembourser dans la même transaction. Si une étape intermédiaire est frauduleuse, l’attaquant repart avec la différence.

Cette attaque n’innove pas. En juin, Verus Bridge avait déjà perdu 11,6 millions de dollars dans des circonstances similaires. Les protocoles comme MakerDAO ont pourtant développé des modules comme les flash mints pour concurrencer les flash loans traditionnels, sans éliminer le risque sous-jacent d’oracle mal calibré.

Quelles sont les réponses de Summer Finance et des autorités ?

Blockaid a réagi rapidement en publiant l’adresse du hacker, le smart contract malveillant et les adresses des contrats Lazy Summer compromis. La publication de ces données on-chain vise à permettre aux autres protocoles et exchanges de geler les fonds s’ils transitent par des plateformes centralisées.

Summer Finance n’a pas encore communiqué officiellement sur un éventuel plan de compensation. Les jetons de gouvernance du protocole ont chuté de 14 % dans les heures suivant l’annonce, selon les données de CoinGecko. Cette situation rappelle la nécessité pour les protocoles DeFi d’auditer régulièrement leurs contrats, même ceux jugés matures comme Oasis.app, en production depuis 2021.

Questions fréquentes

Qu’est-ce que le protocole Summer Finance ?

Summer Finance est un protocole DeFi construit sur Ethereum, anciennement connu sous le nom Oasis.app. Il propose des services de gestion de position et de levier via son Lazy Summer Protocol, qui permet d’automatiser des stratégies de rendement sur plusieurs blockchains.

Comment fonctionne une attaque par flash loan ?

Un emprunteur obtient un prêt instantané sans collatéral, puis exécute une série d’opérations, souvent en manipulant un oracle de prix ou une liquidité déséquilibrée. Si le remboursement final est inférieur à l’emprunt initial, la différence constitue le profit de l’attaquant. Le tout se déroule en une seule transaction.

Les fonds volés peuvent-ils être récupérés ?

La traçabilité on-chain permet de suivre les fonds, mais les attaquants utilisent rapidement des mixeurs comme Tornado Cash pour brouiller leur piste. Dans l’attaque de Summer Finance, les fonds n’ont pas encore été déplacés vers un tel service, selon les données d’Arkham Intelligence.

À retenir

Summer Finance a perdu 6 millions de dollars dans une attaque par flash loan sur son Lazy Summer Protocol. L’exploit, confirmé par Blockaid, s’appuie sur une manipulation d’oracle désormais classique. Les investisseurs doivent surveiller la réaction du protocole concernant une éventuelle compensation et vérifier, via des audits indépendants, les garanties de sécurité des protocoles DeFi qu’ils utilisent.

Sources

Signal Baissier
Impact Modéré
Nous ajouter à vos sources préférées sur Google