2026 年 7 月中旬,DeFi 安全牌再一次被同时敲响:一边是 7 月 16 日才被集中关注的 Perp DEX Ostium,被攻击者精准踩中合约漏洞,通过一轮设计精巧的套利在短时间内卷走约 2375 万 USDC,并进一步换成约 12085 枚 ETH 后抽身离场;另一边则是 7 月 6 日遭到攻击的 Lazy Summer Protocol,在两座 USDC 金库份额价格被恶意操纵的那一刻,约 604 万美元存款在一笔交易中被掏空,直接击穿了其上层应用 Summer.fi 的运营防线。资金被拿走的一方仍然可以在链上自由迁移筹码,而遭殃的一方则不得不面对现实——Summer.fi 团队随后公开承认运营资金已经耗尽,将关闭 Summer.fi 及关联 Labs 公司,仅承诺前端在 8 月 31 日前暂时保留,方便用户处理残存头寸。两起事件在同一时间段内集中曝光,构成了一个极其鲜明的对照:有的攻击者已经带着获利远去,有的协议却被迫把业务寿命压缩到一个明确的截止日期,让“漏洞套利”与“资金韧性”之间的落差暴露得格外刺眼。
2375万USDC漏洞套利重创Ostium
据链上监测显示,7 月 16 日,地址 0x321...bfd9(DeBank 用户名 musti_akrep)在永续合约 DEX Ostium 上抓住合约漏洞实施套利,在短时间内滚动完成多笔交互,将异常收益堆叠至约 2375 万 USDC。更值得注意的是,这笔资金几乎没有在原链上停留,同日即被分批跨链转移至 Arbitrum,随后按单一来源披露的约 1,965 USDC/ETH 价格兑换为约 12085 枚 ETH,完成从“漏洞利润”到链上主流资产的快速转换与隐匿。
从事后轨迹回看,这次事件把永续合约 DEX 的结构性脆弱点暴露得十分直接:一旦智能合约在参数设计或边界条件上存在可被利用的空档,攻击者不仅可以在协议内部完成高额套利,还能在完成获利的同一时间窗口跨链迁移、换仓为其他资产,使得风险控制、事后追踪和资产冻结几乎同时失效。Ostium 的这次被套利事件提醒市场,在永续合约 DEX 赛道里,任何一个被忽视的合约细节都有可能演变成数千万美元规模的系统性风险。
604万被掏空拖垮Summer.fi
如果说 Ostium 的套利提醒了市场合约细节的杀伤力,那么几乎同一时间线上的 Lazy Summer Protocol 事件,则展示了另一种更为惨烈的结局。2026 年 7 月 6 日,攻击者盯上了协议中的两座 USDC 金库,不是直接盗取资产,而是绕过常规路径,从「份额价格」这个内部参数下手:通过恶意操纵两个金库的份额价格,制造出资产净值被严重扭曲的假象,进而在一笔精心构造的交易中完成兑换与赎回。据 AiCoin 数据显示,这笔单一交易最终将约 604 万美元的存款一次性抽空,金库在链上瞬间从看似健康的资产池变成被彻底洗劫的空壳。
资金被掏空的并不只是协议金库的数字余额,更是 Summer.fi 运营背后的现金流和时间。损失发生后,团队在随后的一段时间里评估业务持续性,最终在公开声明中承认,这次攻击直接击穿了运营资金安全垫,Summer.fi 以及其关联的 Labs 公司将被关闭。为了不让用户的链上头寸在技术上被「遗弃」,团队同时给出了一个明确的时间表:前端服务会在 2026 年 8 月 31 日前保持可用,用户仍可登录管理和调整现有仓位,但这个日期之后,业务将不再继续。这意味着,在同样源于合约参数被操纵的安全事件中,一边是攻击者在链上完成套利后潇洒离场,另一边则是因运营资金枯竭被迫关停的协议团队和必须在有限窗口内自救的用户群体。
同是安全事故套利者盈利与协议终结
放在同一时间轴上看,Ostium 与 Lazy Summer/Summer.fi 像是两面镜子。7 月 16 日,在 Perp DEX Ostium 上发动套利的地址 0x321...bfd9(DeBank 用户名 musti_akrep),在一次合约漏洞利用中套走约 2375 万 USDC,随后据 AiCoin 数据显示将全部获利跨链转移至 Arbitrum,并以约 1,965 USDC/ETH 的价格兑换为约 12085 枚 ETH,完成从漏洞收益到主流资产的转换。而截至目前公开信息,Ostium 并未因这次事故立即宣布停运或关闭业务,攻击者则已经在链上顺利完成抽身。
与之形成强烈反差的是 7 月 6 日遭遇攻击的 Lazy Summer:同样围绕 USDC 资产、同样是合约参数被操纵,攻击者在一笔交易中直接盗走约 604 万美元存款,击穿了 Summer.fi 团队的运营资金防线,项目方在评估后选择关闭 Summer.fi 及其关联 Labs 公司,仅承诺前端在 2026 年 8 月 31 日前继续开放以便用户处理存量仓位。安全风险的技术形态或许相似,但一边是协议短期内仍在运行、损失被“消化”,一边则是业务终结、团队退出,这背后很可能与协议在资金储备、是否配置保险或外部保障、以及应急响应与沟通能力有关——能否承受一次黑天鹅级损失,不再只是安全事件的余波,而是决定项目生死的关键变量。
安全审计与金库设计撑过下一次攻击吗
Ostium 这种去中心化永续合约交易所,本身就是由多合约、多风险参数拼接出的复杂机器;Lazy Summer Protocol 则在多金库结构基础上,再叠加份额定价与收益分配逻辑。传统意义上的智能合约审计,习惯把重点放在单个合约有没有明显漏洞,却很难在纸面上完整还原「永续交易 +金库份额定价」这种跨模块、跨市场的动态系统,更谈不上用真实链上数据去压力测试极端场景下的参数联动。在 7 月 6 日这次攻击里,攻击者只需要盯准两个 USDC 金库的份额价格,就能在一笔交易中盗走约 604 万美元存款,说明问题早已不止是某一行代码的错误,而是整个金库与定价体系在极端条件下暴露出的结构性薄弱。
多金库架构本应承担风险隔离的职责,但当 USDC 金库的份额定价可以被操纵、且与协议整体资产和收益预期强绑定时,单点失守就会迅速传导为项目级灾难。对 Summer.fi 而言,攻击之后公开信息里没有出现外部保险赔付或大规模风控资金注入的消息,运营资金被直接掏空,最终只能选择关闭业务;而 Ostium 在 7 月 16 日被攻击地址套利约 2375 万 USDC 后,至少在公开材料中仍被视作一场协议可以继续运转、由存量资金与参数调整去「消化」的事件。两者之间的差距,正在于金库设计是否真正实现风险隔离、份额定价是否具备抗操纵能力,以及协议是否在事前配好了保险、风险基金与透明储备披露这些承压层。DeFi 行业内已经有部分项目尝试引入此类机制,但覆盖度与有效性高度不一,能否在下一次黑天鹅到来时撑过攻击,取决的将不再只是审计报告上的勾选项,而是这些资金与结构性缓冲是否在链上被真实、可验证地预先构建出来。
从Ostium到Summer.fi盯住哪些信号
Ostium 在 7 月 16 日被单一地址 0x321...bfd9 利用漏洞套利,将约 2375 万 USDC 快速跨链至 Arbitrum 并兑换成约 12085 枚 ETH,而 Lazy Summer 在 7 月 6 日遭攻击、操纵 USDC 金库份额价格,直接让 Summer.fi 运营资金被抽空并走向业务关闭,只在前端层面承诺维持到 8 月 31 日这一时间窗。两起事件的共同点,是技术层面的脆弱与资金缓冲的缺位叠加:一边是合约与定价机制在短时间内被击穿,另一边是金库结构与风险兜底安排不足以吸收一次集中的损失。更值得警惕的是,截至目前公开材料都未出现资金追回、法律行动或彻底修复完成的确认,这意味着未来一段时间,协议方如何披露安全事件的细节、修复路径的阶段性进展,以及是否在链上重建足够的资金缓冲,将成为判断其韧性与可信度的核心信号。对用户与开发者而言,选择或设计协议时不应只停留在“是否有过审计”的简单勾选,而要追问审计覆盖深度、金库与运营资金的分层结构、保险与风险基金的预置规模及启用规则是否公开可验证,这些问题能否被正面、具体回答,将直接决定下一次类似事件中参与者能否在技术与资金双重压力下保有基本安全边界。
加入我们的社区,一起来讨论,一起变得更强吧!
AiCoin专属Hyperliquid福利:https://app.hyperliquid.xyz/join/AICOIN88
AiCoin专属Aster福利:https://www.asterdex.com/zh-CN/referral/9C50e2
链上电报(Telegram)社群:https://t.me/AiCoinWhaleData
链上社区:https://www.aicoin.com/link/chat?cid=N6OVMor5g
AiCoin链上推特:https://x.com/aicoinwhaledata
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。



