Blijf financieel scherp

Elke dag het belangrijkste financiële en zakelijke nieuws in je inbox. Zodat jij de dag begint met voorsprong.

Gelukt! Check je e-mail

Klik op de bevestigingslink in je inbox om je aanmelding te voltooien. Niet ontvangen binnen 3 minuten? Check je spamfolder.

Oké, bedankt
Serverrek in datacentrum met netwerkkaarten en kleurrijke bekabelingssnoeren, geel waarschuwingslicht zichtbaar.
Summer.fi-exploit: hoe een flash loan $6M steelt

Hoe een flash loan $65 miljoen leende om $6 miljoen te stelen uit een 'lager risico' vault

Summer.fi pauzeerde alle vaults na een $6 miljoen exploit. Zo werkt de flash loan die de boekhoudlogica manipuleerde.

Thomas Mulder profile image
door Thomas Mulder

Het yield-platform Summer.fi heeft maandag alle vaults van het Lazy Summer Protocol gepauzeerd na een exploit waarbij circa $6 miljoen werd onttrokken. De aanvaller hoefde zelf vrijwel geen kapitaal in te zetten: met een geleend bedrag van $65,4 miljoen, terug te betalen binnen dezelfde transactie, werd de interne boekhouding van de vaults gemanipuleerd en de buit omgezet naar DAI. Het doelwit? Een vault die expliciet bedoeld was voor lager-risico USDC-blootstelling.

Dat juist deze vault slachtoffer werd, vertelt iets belangrijks over hoe DeFi-risico werkt.

Wat is Lazy Summer en waarom leek het veilig?

Lazy Summer Protocol is een geautomatiseerd yield-platform op Ethereum. Je stort stablecoins, en het protocol stuurt die automatisch rond over bewezen leenmarkten zoals Aave en Morpho, op zoek naar het hoogste rendement op dat moment. Rebalancing gaat automatisch: jij doet niks, het protocol werkt voor je.

De vault die getroffen werd, heet LazyVault_LowerRisk_USDC (LVUSDC), gericht op lager-risico USDC-blootstelling. Geen speculatieve tokens, geen leverage, gewoon geoptimaliseerd rondsluizen van stablecoins over grote, gevestigde protocollen. Voor veel retail-gebruikers precies het type product dat "veilig genoeg" klinkt.

Vóór de exploit beheerde het Lazy Summer Protocol circa $22 miljoen aan TVL, zichtbaar in de DeFiLlama-protocolpagina.

Hoe werkt een flash loan, en waarom is dat een aanvalswapen?

Een flash loan is een lening die je binnen één blockchain-transactie opneemt én terugbetaalt. Omdat alles atomisch (ondeelbaar) plaatsvindt, heeft de uitlener geen risico: als je de lening niet terugbetaalt, draait de hele transactie terug alsof hij nooit heeft plaatsgevonden.

Klinkt onschuldig, maar het is ook een precisie-instrument voor aanvallers. Je hebt geen eigen kapitaal nodig om met tientallen miljoenen tegelijk een protocol te bestoken. De kosten? Een paar honderd dollar aan gas-fees.

In dit geval leende de aanvaller circa $65,4 miljoen, voornamelijk in USDC en USDT, en gebruikte die massa om liquiditeitspools bij Morpho en Curve te manipuleren.

Waar zat de kwetsbaarheid precies?

De kern van de exploit zit in de share-accounting en deallocation-logica van de vault. Hoe zo'n systeem werkt: als je geld inlegt, ontvang je "shares" die een proportioneel deel van de vaultwaarde vertegenwoordigen. De verhouding tussen shares en de totale assets in de vault bepaalt wat je shares waard zijn.

De aanvaller gebruikte de flash loan om de totale assets in de vault kunstmatig op te blazen, buiten de normale verwachting van het protocol. Hierdoor werd de waarde per share tijdelijk hoger dan werkelijk gerechtvaardigd. Vervolgens redeemde de aanvaller die shares en incasseerde het verschil, terwijl de flash loan tegelijkertijd werd terugbetaald.

Alles binnen één transactie. Eigen vermogensinzet: vrijwel nul. Buit: $6,017 miljoen, via Curve omgezet naar DAI en doorgestort naar een wallet met adres beginnend bij 0x7BF7...BDCa.

Blockchain-securityfirma Blockaid signaleerde de aanval als eerste; PeckShield en CertiK bevestigden de verdachte flash-loan-interactie onafhankelijk. CertiK's threat-monitoring detecteerde het in realtime.

Summer.fi bevestigde de exploit dezelfde ochtend via X: "We are aware of the reported exploit a little earlier today and are investigating the root cause. The protocol guardians are currently pausing all Vaults across the Lazy Summer Protocol.", @summerfinance_, 6 juli 2026.

Waarom "lager risico" niet hetzelfde is als "risicoloos"

Dit is de kern van het verhaal. Gebruikers die voor LVUSDC kozen, namen bewust een product met een lagere risico-labeling. Maar dat label beschrijft marktrisico, niet smart-contract- of implementatierisico.

Een vault die automatisch rebalanceert over Aave, Morpho en Curve combineert de logica van meerdere protocollen in één geautomatiseerd systeem. Elke koppeling, elke boekhoudkundige aanname die die protocollen aan elkaar verbindt, is een potentieel aanvalsoppervlak. Niet omdat de onderliggende protocollen onveilig zijn, maar omdat de interactie tussen ze nieuwe aannames introduceert die de aanvaller kan exploiteren.

Tegelijkertijd is $6 miljoen relatief klein: het is een kwart van de TVL die eronder zat, maar op het totale DeFi-landschap nauwelijks een rimpeling. Wat groter is, is het patroon.

Het patroon: recordjaar voor crypto-hacks

De eerste helft van 2026 kende 207 crypto-hacks, een recordaantal. Flash-loan-aanvallen die boekhoudlogica manipuleren zijn daarin geen uitzondering maar een terugkerend patroon. Verliezen in DeFi komen zelden van een simpele contract-drain, maar van de interactie tussen liquiditeitsdiepte, routing-logica en accounting-aannames die samen iets onverwachts doen.

Summer.fi (voorheen Oasis.app) is niet onbekend met complexe protocol-situaties: in 2023 was de voorloper betrokken bij het terughalen van fondsen van de Wormhole-bridge-aanvaller, na een gerechtelijk bevel van het High Court of England and Wales. Dat was een andere context, maar het bevestigt dat de wereld van cross-protocol DeFi structureel complex is.

De SUMR-token daalde meer dan 18% na het incident.

Wat volgt

Summer.fi onderzoekt de root cause van de exploit. Alle vaults van het Lazy Summer Protocol blijven gepauzeerd totdat dat onderzoek is afgerond. Gebruikers met fondsen in de vaults kunnen op dit moment geen deposito's of opnames uitvoeren. Wanneer de vaults heropend worden en of er een herstelplan of compensatie-mechanisme komt, is op het moment van schrijven nog niet bekendgemaakt.


Bronnen: Summer.fi (@summerfinance_, X), DeFiLlama, Blockaid, PeckShield, CertiK

Cryptovaluta zijn niet gereguleerd en zeer volatiel. Je kunt je volledige inleg verliezen.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen financieel, beleggings- of fiscaal advies. Today in Finance is geen beleggingsonderneming en beschikt niet over een vergunning als bedoeld in de Wet op het financieel toezicht (Wft). Raadpleeg altijd een gekwalificeerd financieel adviseur voordat je financiële beslissingen neemt. Today in Finance is niet aansprakelijk voor beslissingen genomen op basis van deze informatie.

Thomas Mulder profile image
door Thomas Mulder

Blijf financieel scherp

Elke dag het belangrijkste financiële en zakelijke nieuws in je inbox. Zodat jij de dag begint met voorsprong.

Gelukt! Check je e-mail

To complete Subscribe, click the confirmation link in your inbox. If it doesn’t arrive within 3 minutes, check your spam folder.

Oké, bedankt

Lees meer