Un exploit détecté en temps réel sur trois contrats Ethereum
C'est Blockaid, spécialiste de la sécurité Web3, qui a tiré la sonnette d'alarme le 6 juillet 2026 au matin : une attaque active visait Summer.fi, plateforme d'agrégation de rendement et de gestion automatisée de vault destinée aux investisseurs institutionnels. Environ 6 millions de dollars en DAI ont été drainés depuis trois contrats Lazy Summer déployés sur Ethereum : 0x98C49e13bf99D7CAd8069faa2A370933EC9EcF17, 0xA9ca4909700505585B1aD2a1579dA3b670FFA9c4 et 0xE9cDA459bED6dcfb8AC61CD8cE08E2D52370cB06, selon les informations relayées par Yahoo Finance.
Blockaid a publié l'adresse du portefeuille de l'attaquant (0x7BF716167B48CF527725722C6d79494b45B3BDCa) ainsi que le contrat utilisé pour l'exploit (0x0514F827C129C16418a0933E03C99A6AF982FC61). La transparence on-chain permet ici une traçabilité immédiate, même si elle ne suffit pas à récupérer les fonds.
Au moment de l'attaque, Summer.fi affichait une TVL de 22,41 M$, deux vaults actifs, 13 marchés optimisés et un APY maximum de 12,30 %. Le montant drainé représente donc une part significative des actifs sous gestion.
Summer.fi dans le viseur : une plateforme institutionnelle fragilisée
Anciennement connue sous le nom d'Oasis.app avant son rebranding en 2023, Summer.fi se positionne sur le segment institutionnel de la DeFi, un marché où la confiance dans la sécurité des smart contracts est un prérequis absolu. L'exploit frappe donc doublement : sur les fonds et sur la réputation.
Le token natif SUMR a immédiatement accusé le coup, perdant 5,3 % en 24 heures pour tomber à environ 0,00193 $. Ce recul reflète la réaction classique du marché face à un incident de sécurité sur un protocole : les détenteurs soldent leurs positions avant d'avoir une visibilité complète sur l'étendue des dégâts.
Cet incident est le deuxième exploit crypto enregistré en juillet 2026, selon DeFiLlama. Pour les utilisateurs qui souhaitent comprendre les risques inhérents à ce type de protocoles, notre guide DeFi pour débutant : commencer sans se brûler détaille les mécanismes de vault et les précautions élémentaires.
Pourquoi c'est important pour vos actifs
Les vaults automatisés promettent rendement et simplicité, mais concentrent aussi le risque : un seul contrat vulnérable suffit à vider l'ensemble des dépôts. L'attaque sur Summer.fi illustre ce mécanisme à 6 millions de dollars. Les protocoles qui ciblent les institutionnels ne sont pas immunisés contre les failles de smart contracts et la détection en temps réel par Blockaid, si elle permet d'alerter rapidement, n'empêche pas le drainage des fonds une fois l'exploit lancé. La sécurité des audits préalables reste le seul rempart réel.











