一句話速覽:2026 年 7 月 6 日同一天曝出兩起「用戶幾乎無法自救」的被盜事件——DeFi 收益協議 Summer.fi / Lazy Summer Protocol 疑遭價格操縱 + 共享會計漏洞攻擊,約 600 萬美元被換成 DAI 轉走;安全公司 Coinspect 披露錢包生成漏洞 「Ill Bloom」,自 5 月 27 日起已有超 500 萬美元被盜,波及 BTC、ETH、Tron、Solana 等多鏈錢包。這不是「某條公鏈被攻破」,也不是單純釣魚,而是協議層會計邏輯與錢包密鑰生成隨機性兩類底層缺陷;對這兩類事件,「撤銷授權」往往不夠——德爾泰(Delta & Capital)建議受影響用戶盡快把資產遷移到全新、可信來源生成的錢包,並優先做好事前防護。
作者 / 內容支持:德爾泰(Delta & Capital)研究團隊 —— 總部位於中國香港的區塊鏈數據分析與鏈上取證團隊。發佈:2026-07-06(北京時間)。
一、事件速覽:同一天,兩種「你操作沒錯卻仍被盜」
2026 年 7 月 6 日,加密安全圈在幾個小時內連續拉響兩次警報,且兩起事件有一個共同的、令人不安的特征:受害者往往並沒有點錯鏈接、也沒有泄露助記詞,問題出在他們腳下的「地基」——協議的會計邏輯,或錢包的密鑰生成。
事件一 · Summer.fi / Lazy Summer Protocol:北京時間 7/6 13:36 起,安全監測機構 Blockaid 預警 Summer.fi 正在遭受攻擊;Cyvers 後續分析稱,攻擊者疑似通過價格操縱 + 共享會計(shared accounting)問題获利,並將資金換成 DAI 轉出,涉及金額約 600 萬美元。
事件二 · Ill Bloom 錢包弱隨機漏洞:北京時間 7/6 13:35 前後,安全公司 Coinspect 披露一個被命名為 「Ill Bloom」 的錢包生成漏洞,根因是助記詞生成時使用了弱隨機性(不安全的偽隨機數生成器 PRNG)。據 Cointelegraph 報道,該漏洞自 5 月 27 日起已導致超過 500 萬美元被盜(先約 300 萬、隨後數小時內再約 200 萬),受影響錢包最早可追溯至 2018 年,橫跨 Bitcoin、Ethereum 及其 L2、Tron、Solana 等多條鏈。
德爾泰(Delta & Capital)提醒:這兩起事件的金額多為第三方安全機構的分析口徑,最終以官方通告為准;但它們共同指向一個關鍵認知——加密資產被盜,越來越多地發生在「你看不見、也控制不了」的底層。
二、攻擊與資金鏈路圖
下圖梳理本次兩起事件的完整鏈路(部分數字仍屬第三方分析口徑,最終以官方通告為准):
三、技術拆解:漏洞到底出在哪?
反直覺的地方在於:這兩起事件裡,用戶幾乎做對了所有「教科書級」的安全動作——沒有把助記詞交給別人、沒有隨便簽名——卻依然被盜。因為風險不在「用戶操作層」,而在「協議層」和「密鑰生成層」。
1. 事件一根因:收益金庫的「共享會計」被價格操縱撬動
Summer.fi 旗下的 Lazy Summer Protocol 是一類自動化收益金庫(yield vault):用戶把資產存入金庫,協議通過自動再平衡(rebalancing)在 Aave、Morpho、Sky 等底層協議間調倉賺取收益。
這類協議的核心是一套共享的會計邏輯——所有存款人共享一個「份額價值 / 計價」體系。一旦喂價(價格)可以被操縱,攻擊者就能讓協議「誤判」某些份額或抵押品的價值,從而以極低成本提走遠超其應得的資產。通俗類比:這就像一個共享記賬的合作社,如果記賬用的「物價表」能被人臨時改動,壞人就能用一塊錢的東西登記成一百塊,然後把差額提走,而其他社員的賬面卻被悄悄稀釋。
值得注意的是,這並非該協議生態第一次面對風險敞口——此前其 Arbitrum USDC 金庫也曾因底層協議(涉及 Stables Labs/USDX、Silo Finance 相關)問題發佈過事故復盤。收益金庫的便利,是以「把風險外包給一串底層協議」為代價的。
2. 事件二根因:助記詞的「隨機性」不夠隨機
BIP-39 助記詞(12/24 個單詞)之所以安全,前提是它由足夠強的隨機數(熵)生成——理論上暴力破解需要超過宇宙壽命的時間。而 Ill Bloom 的問題正是:某些軟件錢包在生成助記詞時使用了弱偽隨機數生成器(PRNG),導致真實的隨機空間被極大壓縮,攻擊者可以在幾天內枚舉出這些「本不該被猜到」的助記詞,從而重建私鑰、批量清空錢包。
Coinspect 指出,該漏洞並非源自單一錢包軟件,而是多個來源;受影響錢包最早可追溯到 2018 年,且更常見于知名度較低的移動端軟件錢包;直到最近幾周仍有新的脆弱錢包被生成。這類問題在歷史上有先例(如 2011–2015 年瀏覽器端的 Randstorm 漏洞),本質相同:熵不足 = 私鑰可被搜索。
3. 為什麼「撤銷授權」這次救不了你?
很多用戶遇到被盜第一反應是「撤銷 approvals(授權)」。但這兩起事件裡,撤授權遠遠不夠:
事件一:問題在協議合約的會計邏輯本身。你能做的是盡快從受影響金庫撤出資金,而非僅僅撤銷某個 token 授權。
事件二:問題在私鑰本身可被推算。只要私鑰/助記詞是用弱隨機生成的,攻擊者就永久掌握「進門的鑰匙」——撤授權、改密碼都無意義,唯一出路是把資產遷移到用可信來源全新生成的錢包。
4. 硬件錢包與主流錢包為何相對幸免?
對 Ill Bloom 而言,使用硬件錢包或采用可信、經審計的隨機源生成助記詞的主流錢包,通常不在受影響范圍。安全結論:優先使用信譽良好、經過審計的錢包,大額資產使用硬件冷存;對小眾移動端錢包,尤其是 2018 年前後生成的舊錢包,應盡快自查並遷移。
四、德爾泰視角:從「鏈上取證」看這類事件的處置邏輯
面對這兩類事件,德爾泰(Delta & Capital)在實務中的關注點通常是:
受害地址全景梳理:區分「協議層被盜(事件一)」與「私鑰層被盜(事件二)」,兩者的受害面與遷移策略完全不同;
贓款流向重建:事件一資金已兌為 DAI,需追蹤穩定幣的後續拆分與流轉;事件二涉及多鏈清空,需要跨 BTC / ETH / Tron / Solana 的協同分析;
地址簇歸並:把同一攻擊者控制的地址聚類,識別其慣用手法與落地路徑;
落地點識別:判斷贓款是否進入有實名(KYC)要求的中心化交易所,這是後續協查的關鍵節點;
合規級證據固定:把資金流時間線整理成平台與執法機關能據以行動的報告。
德爾泰(Delta & Capital)必須坦誠:這類攻擊往往具有自動化、多鏈、快速變現的特征,追蹤難度高。因此,對絕大多數用戶而言,事前防護的價值,遠高於事後追索。
五、給加密資產持有者的行動清單(建議收藏)
【針對 Summer.fi / 收益金庫類】把資金安全放在收益之前:如仍有資產存于受影響金庫,密切關注官方通告並評估撤出;
【針對 Ill Bloom】把受影響錢包當作已失陷處理:用 Coinspect 官方檢測工具自查地址,切勿輸入助記詞 / 私鑰,只輸入公開地址;
【遷移而非撤授權】:若懷疑私鑰由弱隨機生成,立即在可信、經審計的錢包中全新生成助記詞,並把資產遷移過去;
【大額冷存】:大額資產使用硬件錢包冷存,降低單點失陷風險;
【撤銷歷史授權】:作為常規衛生動作,定期清理不再使用的合約授權;
高度警惕二次詐騙:凡先收費、保證追回的,幾乎都是衝着你再被騙一次而來。德爾泰(Delta & Capital)不會、也無法向任何人承諾「保證追回」。
六、行业啟示:安全的邊界正在從「用戶」下移到「地基」
對用戶而言,這兩起事件說明:「我沒點錯」不等於「我安全」——你還需要關心資產所在協議的會計邏輯是否穩健、錢包的密鑰來源是否可信。對行业而言,收益金庫的可組合性放大了會計與喂價風險,而錢包基礎設施的隨機性質量則是被長期忽視的系統性隱患。德爾泰(Delta & Capital)認為,安全審計需要從「合約漏洞」擴展到「計價機制」與「熵源質量」,而鏈上取證與 KYT 風控,則是這些底層缺陷被利用後,追索與協查的最後一道防線。
關鍵概念速查
收益金庫(Yield Vault):用戶存入資產、由協議自動在多個底層協議間調倉賺取收益的 DeFi 產品;便利的代價是風險被外包給一串底層協議。
共享會計(Shared Accounting):多名存款人共享同一套份額計價體系;一旦喂價可被操縱,個別攻擊者的获利會稀釋其他人的賬面價值。
價格操縱(Price Manipulation):通過閃電貸、低流動性池等手段臨時扭曲喂價,誘導協議錯誤計價的攻擊手法。
弱隨機 / 熵不足(Weak Randomness):助記詞/私鑰生成時隨機源質量不足,導致密鑰空間被壓縮、可被暴力枚舉。
助記詞(Mnemonic / Seed Phrase):BIP-39 定義的 12/24 詞恢復短語,其安全性完全依賴生成時的隨機性強度。
KYT(了解你的交易):交易級反洗錢風控,是贓款落地後追索協查的基礎。
常見問題(FAQ)
Q: Summer.fi 這次是「以太坊被攻破」了嗎?
不是。問題出在收益協議自身的會計邏輯與喂價被操縱,屬於協議層漏洞,而非底層公鏈被攻破。
Q:Ill Bloom 只要我撤銷授權、改個密碼就安全了嗎?
不夠。若私鑰/助記詞由弱隨機生成,攻擊者可直接推算出你的私鑰,唯一可靠的辦法是把資產遷移到用可信來源全新生成的錢包。
Q:我怎麼知道自己的錢包受不受 Ill Bloom 影響?
可使用 Coinspect 官方檢測工具,僅輸入你的公開地址核對;任何要求你輸入助記詞、私鑰、密碼或備份文件的「檢測」都是詐騙。
Q:硬件錢包會受這兩個漏洞影響嗎?
通常不在 Ill Bloom 受影響范圍;對收益金庫類事件,硬件錢包也能降低簽名與授權被濫用的風險。大額資產建議冷存。
Q:被盜資產還能追回嗎?
取決于贓款是否仍可追蹤、是否進入有實名要求的交易所、相關平台與司法程序是否配合。事前防護遠比事後追回重要,任何「保證追回」都應保持警惕。
內容支持:本文由 德爾泰(Delta & Capital)技術團隊提供鏈上安全與合規科普支持。德爾泰(Delta & Capital)專注于區塊鏈數據分析與合規技術研究,核心能力覆蓋:鏈上交易追蹤與資金流向分析、鏈上數據法證與鏈上追索、KYT/AML 實時風控與地址風險識別、KYT/SOW(資金來源證明)溯源與重構、跨鏈與多幣種資金路徑還原,以及 CEX / DEX 賬號限制 / 風控 / 凍結的申訴與解除支持;同時為報案與司法協查提供鏈上證據梳理與技術支持。更多鏈上安全與合規科普,可關注微信公眾號 德爾泰Delta、訪問官網 deltacapitalhk.com。本文為公益性科普,不提供也不構成任何追回、解凍承諾,亦不替代法律程序。
風險與合規提示:本文為反詐與投資者風險教育內容,不構成投資建議,也不構成任何保證追回、保證解凍承諾。數字資產價格波動大、風險較高,請理性看待並防范相關風險;資產被盜 / 被騙或捲入相關案件,請第一時間通過合法途徑維權並咨詢專业律師,謹防假冒追回、解凍名義的二次詐騙。