Ziņas
BONK un Summer.fi: DeFi drošības incidenti
2026. gada 6. jūlijā divi nesaistīti incidenti trāpīja decentralizētajai kriptonozarei. Solana ekosistēmas BonkDAO zaudēja aptuveni 20 miljonus dolāru ļaunprātīga pārvaldības balsojuma dēļ (uzbrucējs iztērēja ap 4,4 miljoniem, lai iegūtu kvorumu), bet DeFi protokols Summer.fi apturēja Lazy Summer glabātuves pēc aptuveni 6 miljonu dolāru flash loan ekspluatācijas. Apskatām, kas notika, kas ir Summer.fi un ko tas piedāvā, un ko tas nozīmē Baltijas un Ziemeļvalstu lietotājiem.

2026. gada 6. jūlijā divi nesaistīti drošības incidenti atgādināja par decentralizēto protokolu riskiem. Solana ekosistēmas BonkDAO zaudēja aptuveni 20 miljonus dolāru vērtu BONK žetonu ļaunprātīga pārvaldības balsojuma rezultātā: uzbrucējs iztērēja aptuveni 4,4 miljonus dolāru, nopērkot ap 1% BONK piedāvājuma, lai sasniegtu kvorumu un pieņemtu priekšlikumu par kases izsūkšanu. Tajā pašā dienā DeFi protokols Summer.fi apturēja Lazy Summer glabātuves pēc aptuveni 6 miljonu dolāru flash loan ekspluatācijas, kurā ar 65 miljonu dolāru zibaizdevumu tika manipulēta glabātuvju grāmatvedība. Apskatām, kā abi uzbrukumi notika, kas ir Summer.fi un ko tas piedāvā, riskus un ko tas nozīmē Baltijas un Ziemeļvalstu lietotājiem MiCA kontekstā.
Notikuma būtība
- gada 6. jūlijā divi savstarpēji nesaistīti drošības incidenti atgādināja, ka decentralizēto protokolu un pārvaldības žetonu (governance token) riski pastāv neatkarīgi no tā, cik stingri regulēts kļūst centralizēto biržu sektors. Solana ekosistēmas BonkDAO zaudēja aptuveni 20 miljonus dolāru vērtu BONK žetonu ļaunprātīga pārvaldības balsojuma rezultātā, bet DeFi ienesīguma protokols Summer.fi apturēja savas Lazy Summer glabātuves pēc aptuveni 6 miljonu dolāru ekspluatācijas.
Abi gadījumi ir mācība arī Baltijas un Ziemeļvalstu lietotājiem: MiCA regula stiprina centralizēto biržu (CASP) uzraudzību, bet decentralizētie protokoli un to pārvaldības mehānismi lielā mērā paliek ārpus šī ietvara, un tehniskie un ekonomiskie riski tur ir citādi.
BonkDAO pārvaldības uzbrukums - kā tas notika
BONK ir viena no lielākajām Solana "memecoin" monētām, un tās kopiena pārvalda kasi (treasury) caur decentralizētu autonomo organizāciju BonkDAO. Uzbrukums neizmantoja viedā līguma (smart contract) kļūdu - tā vietā uzbrucējs pārņēma pašu balsošanas mehānismu.
Notikumu secība:
- 30. jūnijā anonīms maks iesniedza priekšlikumu pārskaitīt kases līdzekļus uz paša kontrolētu maku.
- Lai priekšlikums stātos spēkā, bija nepieciešams kvorums - "par" balsu skaits, kas vienāds ar 1% no BONK piedāvājuma.
- 4. un 5. jūlijā atsevišķs maks nopirka tieši tik daudz BONK (aptuveni 1% no piedāvājuma), iztērējot aptuveni 4,4 miljonus dolāru biržās Bybit un Binance.
- Ar šo balsstiesību apjomu uzbrucējs vienpersoniski sasniedza kvorumu. Balsojums tika pieņemts ar 99,9% "par", un ar uzbrucēju saistītie maki kontrolēja aptuveni 99,878% no nodotajām balsīm.
- Rezultātā no kases uz uzbrucēja maku tika pārskaitīti aptuveni 4,426 triljoni BONK žetonu.
BONK cena kritās aptuveni 8-10%. BonkDAO paziņoja, ka sadarbojas ar Solana fondu (Solana Foundation) un biržām, lai izsekotu un iesaldētu nozagtos aktīvus.
Kas ir pārvaldības uzbrukums
Pārvaldības uzbrukums (governance attack) ir situācija, kad kāds iegūst pietiekami daudz balsstiesību, lai pieņemtu sev labvēlīgu lēmumu DAO ietvaros - piemēram, novirzītu kasi vai mainītu protokola parametrus. Atšķirībā no koda ievainojamības šeit tiek "uzlauzta" nevis programmatūra, bet lēmumu pieņemšanas sistēma.
BonkDAO gadījumu padarīja iespējamu zema balsošanas aktivitāte: ja lielākā daļa žetonu turētāju nebalso, tad relatīvi neliela, bet koncentrēta balsstiesību pozīcija var sasniegt kvorumu un izšķirt rezultātu. Tā ir strukturāla DAO problēma, ne konkrētas komandas kļūda, un līdzīgi uzbrukumi vēsturē skāruši arī citus protokolus (piem., Beanstalk 2022. gadā).
Summer.fi ekspluatācija - kā tas notika
Dienas otrajā incidentā DeFi platforma Summer.fi cieta no viedo līgumu ekspluatācijas. Uzbrucējs izmantoja flash loan (zibaizdevumu) - aizņēmumu, kas tiek paņemts un atmaksāts vienas transakcijas ietvaros.
Tehniskā gaita, kā to aprakstīja drošības firmas:
- Uzbrucējs paņēma aptuveni 65,4 miljonu dolāru USDC flash loan.
- Ar to tika manipulēta Lazy Summer glabātuvju (ERC-4626 standarta) grāmatvedības (accounting) loģika, mākslīgi "uzpūšot" aktīvu vērtību glabātuvē.
- Uzpūstā stāvokļa dēļ uzbrucējs varēja izpirkt (redeem) vairāk daļu, nekā patiesībā pienācās, panākot izpirkšanu aptuveni 70,9 miljonu dolāru apmērā un aizejot ar aptuveni 6 miljoniem dolāru peļņas.
Incidentu pirmā atklāja drošības firma Blockaid; par aizdomīgu aktivitāti ziņoja arī PeckShield un CertiK. Summer.fi apstiprināja, ka protokola "guardians" (aizsargi) apturēja skartās glabātuves, lai novērstu tālākus zaudējumus. Platformas SUMR žetons kritās par vairāk nekā 18%. Pēc DeFiLlama datiem, pirms uzbrukuma protokolā bija bloķēti aptuveni 22 miljoni dolāru (TVL). Daļa līdzekļu tika izsekota, tostarp caur Tornado Cash miksēšanas servisu.
Kas ir Summer.fi un ko tas piedāvā
Summer.fi ir DeFi orķestrēšanas un automatizācijas slānis, kas darbojas virs pamatprotokoliem kā Aave, Sky (bijušais Maker) un Morpho. Ideja: tā vietā, lai lietotājs pats manuāli veiktu transakcijas un uzraudzītu likvidācijas risku katrā protokolā, Summer.fi ļauj automatizēt pozīcijas un stratēģijas vienotā saskarnē.
Platformai ir divi galvenie produkti:
- Lazy Summer Protocol - "set-and-forget" (iestati un aizmirsti) pieeja pasīvam ienesīgumam. Tā piedāvā Lazy Vaults (glabātuves) - kurētus, diversificētus portfeļus, ko AI vadīti "Keepers" automātiski pārbalansē starp protokoliem, meklējot labāko ienesīgumu. Pēc uzņēmuma datiem, 2025. gadā notikuši vairāk nekā 75 000 automātisku pārbalansēšanas darbību.
- Summer.fi Pro - padziļinātāka pieeja pieredzējušiem lietotājiem ar manuālāku kontroli pār pozīcijām, aizņēmumiem un stratēģijām.
Summer.fi pozicionē sevi kā nekastodiālu (non-custodial) slāni - tas nekad nepārņem kontroli pār lietotāja līdzekļiem. Lazy Summer Protocol ir pieejams uz Ethereum, Base un Arbitrum tīkliem. Tieši šī incidenta kontekstā daži analītiķi norādīja, ka AI vadīta automatizācija DeFi pievieno jaunu riska slāni virs klasiskā viedo līgumu riska.
Ietekme uz Baltijas un Ziemeļvalstu lietotājiem
Tiešā finansiālā ietekme uz reģiona lietotājiem, visticamāk, ir ierobežota - BONK un SUMR nav plaši turēti aktīvi Baltijā un Ziemeļvalstīs, un abi protokoli nav vietējie pakalpojumu sniedzēji. Tomēr incidentiem ir plašāka nozīme:
- Regulējuma robeža. MiCA prasa licenci un uzraudzību centralizētiem kriptoaktīvu pakalpojumu sniedzējiem (CASP), bet decentralizēti protokoli un DAO pārvaldība lielā mērā paliek ārpus šī ietvara. Licencēta birža nenozīmē, ka arī uz tās tirgotie DeFi žetoni ir "droši".
- Riska veidi atšķiras. Centralizētās biržas riski (maksātspēja, kastodija, iekšējā kontrole) atšķiras no DeFi riskiem (viedo līgumu kļūdas, pārvaldības uzbrukumi, flash loan manipulācijas).
- Izpēte pirms līdzdalības. Pirms līdzekļu novietošanas DAO vai DeFi glabātuvē ir vērts saprast pārvaldības modeli, kvoruma noteikumus, auditu vēsturi un to, kurš faktiski kontrolē balsstiesības.
Riski un skeptiskais skatījums
Abi incidenti izceļ atšķirīgus, bet saistītus riskus. Pārvaldības uzbrukumi rāda, ka decentralizācija uz papīra (žetonu balsošana) praksē var būt centralizēta, ja aktivitāte ir zema un balsstiesības nopērkamas tirgū. Flash loan ekspluatācijas rāda, ka pat nekastodiāli, "labi auditēti" protokoli var saturēt smalkas grāmatvedības kļūdas, ko iespējams izmantot ar lielu, īslaicīgu kapitālu.
Vienlaikus jāsaglabā mērs: neviens no incidentiem nav sistēmisks visai kriptonozarei, un vairāki DeFi protokoli vēsturiski ir atguvuši daļu līdzekļu caur "white hat" vienošanās un izsekošanu. Tomēr solījumi par augstu ienesīgumu vai "automatizētu" drošību vienmēr prasa neatkarīgu izvērtējumu.
Kas tālāk
- BonkDAO - vai izdosies iesaldēt vai atgūt daļu nozagto BONK žetonu ar biržu un Solana fonda palīdzību, un vai DAO pārskatīs kvoruma un balsošanas noteikumus.
- Summer.fi - glabātuvju atsākšana pēc auditiem, iespējama "white hat" vienošanās ar uzbrucēju un pilna incidenta pēcnāves (post-mortem) analīze.
- Nozares mācība - lielāka uzmanība DAO pārvaldības drošībai (kvorums, laika aiztures, daudzparakstu kontrole) un ERC-4626 glabātuvju grāmatvedības auditiem.
Saistītie raksti
- RealFi testnets: kas tas ir un ietekme uz ADA
- Ripple saņem pilnu MiCA CASP licenci
- MiCA-licencētās biržas Baltijā un Ziemeļvalstīs
Avoti
- CoinDesk - BONK faces $20 million treasury drain after attacker spends $4 million
- crypto.news - What is a governance attack? How BonkDAO lost $20M in a single vote
- The Record - Attackers vote themselves $20 million in BONK
- CoinDesk - DeFi protocol Summer.fi halts Lazy Summer vaults after $6 million exploit
- The Block - Summer Finance exploited for $6 million; analysts point to flash loan attack
- The Defiant - Lazy Summer Protocol Launches With an AI-Powered Yield Optimizer for DeFi
Šis materiāls ir informatīvs pārskats, nevis ieguldījumu ieteikums. Kriptoaktīvi, DAO pārvaldības žetoni un DeFi protokoli ir augsta riska. Pirms lēmumiem veic pats savu izpēti.