Naujienos
BONK ir Summer.fi: du DeFi saugumo incidentai
2026 m. liepos 6 d. du tarpusavyje nesusiję incidentai smogė decentralizuotam kriptosektoriui. Solana ekosistemos BonkDAO prarado apie 20 milijonų dolerių dėl kenkėjiško valdymo balsavimo (užpuolikas išleido ~4,4 milijono kvorumui pasiekti), o DeFi protokolas Summer.fi sustabdė savo Lazy Summer saugyklas po maždaug 6 milijonų dolerių eksploatavimo. Apžvelgiame, kas įvyko, kas yra Summer.fi ir ką jis siūlo, ir ką tai reiškia Baltijos bei Šiaurės šalių vartotojams.

2026 m. liepos 6 d. du tarpusavyje nesusiję saugumo incidentai priminė apie decentralizuotų protokolų rizikas. Solana ekosistemos BonkDAO prarado apie 20 milijonų dolerių vertės BONK žetonų dėl kenkėjiško valdymo balsavimo: užpuolikas išleido maždaug 4,4 milijono dolerių, nupirkdamas apie 1% BONK pasiūlos, kad pasiektų kvorumą ir priimtų pasiūlymą iždui ištuštinti. Tą pačią dieną DeFi protokolas Summer.fi sustabdė savo Lazy Summer saugyklas po maždaug 6 milijonų dolerių flash loan eksploatavimo, kuriame 65 milijonų dolerių žaibo paskola buvo manipuliuojama saugyklų apskaita. Apžvelgiame, kaip įvyko abu užpuolimai, kas yra Summer.fi ir ką jis siūlo, rizikas ir ką tai reiškia Baltijos bei Šiaurės šalių vartotojams MiCA kontekste.
Kas įvyko
2026 m. liepos 6 d. du tarpusavyje nesusiję saugumo incidentai priminė, kad decentralizuotų protokolų ir valdymo žetonų rizika egzistuoja nepriklausomai nuo to, kaip griežtai reguliuojamas centralizuotų biržų sektorius. Solanos ekosistemos BonkDAO dėl kenkėjiško valdymo balsavimo prarado maždaug 20 mln. USD vertės BONK žetonų, o DeFi pajamingumo protokolas Summer.fi sustabdė savo Lazy Summer saugyklas po išnaudojimo, kurio vertė siekė apie 6 mln. USD.
Abu atvejai turi pamoką ir Baltijos bei Šiaurės šalių naudotojams: MiCA sustiprina centralizuotų biržų (CASP) priežiūrą, tačiau decentralizuoti protokolai ir jų valdymo mechanizmai daugiausia lieka už šios sistemos ribų, o techninė ir ekonominė rizika ten yra kitokia.
BonkDAO valdymo ataka - kaip tai įvyko
BONK yra vienas didžiausių Solanos "memecoinų", o jo bendruomenė iždą valdo per decentralizuotą autonominę organizaciją BonkDAO. Ataka neišnaudojo išmaniosios sutarties klaidos - vietoj to užpuolikas perėmė patį balsavimo mechanizmą.
Įvykių seka:
- Birželio 30 d. anonimiška piniginė pateikė pasiūlymą pervesti iždo lėšas į jos kontroliuojamą piniginę.
- Kad pasiūlymas įsigaliotų, buvo reikalingas kvorumas - "už" balsai, prilygstantys 1 % BONK apyvartos.
- Liepos 4 ir 5 d. atskira piniginė nupirko būtent tiek BONK (apie 1 % apyvartos), Bybit ir Binance biržose išleisdama maždaug 4,4 mln. USD.
- Turėdamas tokią balsavimo galią, užpuolikas vienas pats pasiekė kvorumą. Balsavimas buvo priimtas su 99,9 % "už" balsų, o su užpuoliku susijusios piniginės kontroliavo apie 99,878 % atiduotų balsų.
- Dėl to iš iždo į užpuoliko piniginę buvo pervesta maždaug 4,426 trln. BONK žetonų.
BONK kaina krito apie 8-10 %. BonkDAO pranešė bendradarbiaujantys su Solana Foundation ir biržomis, siekdami atsekti ir įšaldyti pavogtą turtą.
Kas yra valdymo ataka
Valdymo ataka - tai situacija, kai kas nors įgyja pakankamai balsavimo galios, kad DAO viduje priimtų savo naudai palankų sprendimą - pavyzdžiui, nukreiptų iždą arba pakeistų protokolo parametrus. Skirtingai nuo kodo pažeidžiamumo, čia "įsilaužiama" ne į programinę įrangą, o į sprendimų priėmimo sistemą.
BonkDAO atvejį įgalino žemas balsavimo aktyvumas: jei dauguma žetonų turėtojų nebalsuoja, tuomet santykinai nedidelė, bet sukoncentruota balsavimo pozicija gali pasiekti kvorumą ir nulemti rezultatą. Tai yra struktūrinė DAO problema, o ne konkrečios komandos kaltė, ir panašios atakos istoriškai palietė ir kitus protokolus (pvz., Beanstalk 2022 m.).
Summer.fi išnaudojimas - kaip tai įvyko
Antrajame tos dienos incidente DeFi platforma Summer.fi patyrė išmaniosios sutarties išnaudojimą. Užpuolikas panaudojo flash loan - paskolą, paimtą ir grąžintą per vieną transakciją.
Techninė eiga, kaip ją aprašo saugumo įmonės:
- Užpuolikas paėmė maždaug 65,4 mln. USD USDC flash loan.
- Juo jis manipuliavo Lazy Summer saugyklų (sukurtų pagal ERC-4626 standartą) apskaitos logiką, dirbtinai "išpūsdamas" saugykloje esančio turto vertę.
- Dėl išpūstos būsenos užpuolikas galėjo išpirkti daugiau akcijų, nei iš tikrųjų priklausė, pasiekdamas apie 70,9 mln. USD išpirkimą ir pasitraukdamas su maždaug 6 mln. USD pelnu.
Incidentą pirmoji pastebėjo saugumo įmonė Blockaid; PeckShield ir CertiK taip pat pranešė apie įtartiną veiklą. Summer.fi patvirtino, kad protokolo "sargai" (guardians) sustabdė paveiktas saugyklas, kad būtų išvengta tolesnių nuostolių. Platformos SUMR žetonas krito daugiau nei 18 %. Pagal DeFiLlama duomenis, prieš ataką protokolas turėjo apie 22 mln. USD užrakinto bendrojo vertės rodiklio (TVL). Dalis lėšų buvo atsekta, taip pat per Tornado Cash maišymo paslaugą.
Kas yra Summer.fi ir ką jis siūlo
Summer.fi yra DeFi orkestravimo ir automatizavimo sluoksnis, veikiantis virš bazinių protokolų, tokių kaip Aave, Sky (buvęs Maker) ir Morpho. Idėja: užuot naudotojui rankiniu būdu vykdžius transakcijas ir stebėjus likvidavimo riziką kiekviename protokole, Summer.fi leidžia automatizuoti pozicijas ir strategijas viename sąsajoje.
Platforma turi du pagrindinius produktus:
- Lazy Summer Protocol - "nustatyk ir pamiršk" požiūris į pasyvų pajamingumą. Jis siūlo Lazy Vaults - kuruojamus, diversifikuotus portfelius, kuriuos DI valdomi "Keepers" automatiškai perbalansuoja tarp protokolų ieškodami geriausio pajamingumo. Pasak bendrovės, 2025 m. įvyko daugiau nei 75 000 automatizuotų perbalansavimo veiksmų.
- Summer.fi Pro - pažangesnis požiūris patyrusiems naudotojams, su didesne rankine pozicijų, skolinimosi ir strategijų kontrole.
Summer.fi pozicionuoja save kaip nesaugantį (non-custodial) sluoksnį - jis niekada neperima naudotojų lėšų kontrolės. Lazy Summer Protocol yra prieinamas Ethereum, Base ir Arbitrum tinkluose. Šio incidento kontekste kai kurie analitikai pastebėjo, kad DI valdomas automatizavimas prideda naują rizikos sluoksnį virš klasikinės išmaniosios sutarties rizikos DeFi srityje.
Poveikis Baltijos ir Šiaurės šalių naudotojams
Tiesioginis finansinis poveikis regiono naudotojams tikriausiai yra ribotas - BONK ir SUMR nėra plačiai laikomas turtas Baltijos ir Šiaurės šalyse, o nė vienas protokolas nėra vietinis paslaugų teikėjas. Vis dėlto incidentai turi platesnę reikšmę:
- Reguliavimo riba. MiCA reikalauja licencijavimo ir priežiūros centralizuotiems kriptoturto paslaugų teikėjams (CASP), tačiau decentralizuoti protokolai ir DAO valdymas daugiausia lieka už šios sistemos ribų. Licencijuota birža nereiškia, kad joje prekiaujami DeFi žetonai yra "saugūs".
- Skirtingi rizikos tipai. Centralizuotų biržų rizika (mokumas, saugojimas, vidaus kontrolė) skiriasi nuo DeFi rizikos (išmaniųjų sutarčių klaidos, valdymo atakos, flash loan manipuliacijos).
- Tyrinėkite prieš dalyvaudami. Prieš patalpinant lėšas į DAO arba DeFi saugyklą, verta suprasti valdymo modelį, kvorumo taisykles, audito istoriją ir tai, kas iš tikrųjų kontroliuoja balsavimo galią.
Rizika ir skeptiškas požiūris
Abu incidentai išryškina skirtingas, bet susijusias rizikas. Valdymo atakos rodo, kad decentralizacija popieriuje (žetonų balsavimas) praktiškai gali būti centralizuota, jei aktyvumas mažas, o balsavimo galią galima nusipirkti rinkoje. Flash loan išnaudojimai rodo, kad net nesaugantys, "gerai audituoti" protokolai gali turėti subtilių apskaitos trūkumų, kuriuos galima išnaudoti dideliu, trumpalaikiu kapitalu.
Tuo pačiu metu svarbi perspektyva: nė vienas incidentas nėra sisteminis visai kriptovaliutų industrijai, o keli DeFi protokolai istoriškai atgavo dalį lėšų per "white hat" susitarimus ir atsekimą. Vis dėlto pažadai dėl aukšto pajamingumo ar "automatizuoto" saugumo visada reikalauja nepriklausomo įvertinimo.
Kas bus toliau
- BonkDAO - ar dalį pavogto BONK bus galima įšaldyti arba atgauti biržų ir Solana Foundation pagalba, ir ar DAO peržiūrės savo kvorumo bei balsavimo taisykles.
- Summer.fi - saugyklų atnaujinimas po auditų, galimas "white hat" susitarimas su užpuoliku ir išsamus incidento tyrimas (post-mortem).
- Industrijos pamoka - daugiau dėmesio DAO valdymo saugumui (kvorumas, laiko uždelsimai, multisig kontrolė) ir ERC-4626 saugyklų apskaitos auditams.
Susiję straipsniai
- RealFi testnet: kas tai yra ir jo poveikis ADA
- Ripple gauna pilną MiCA CASP licenciją
- MiCA licencijuotos biržos Baltijos ir Šiaurės šalyse
Šaltiniai
- CoinDesk - BONK faces $20 million treasury drain after attacker spends $4 million
- crypto.news - What is a governance attack? How BonkDAO lost $20M in a single vote
- The Record - Attackers vote themselves $20 million in BONK
- CoinDesk - DeFi protocol Summer.fi halts Lazy Summer vaults after $6 million exploit
- The Block - Summer Finance exploited for $6 million; analysts point to flash loan attack
- The Defiant - Lazy Summer Protocol Launches With an AI-Powered Yield Optimizer for DeFi
Tai yra informacinė apžvalga, o ne investavimo rekomendacija. Kriptoturtas, DAO valdymo žetonai ir DeFi protokolai yra didelės rizikos. Prieš priimdami sprendimus atlikite savo pačių tyrimą.