ماکینا متحمل سوءاستفاده 4.13 میلیون دلاری در استخر Curve دوازدهم/USDC شد

ماکینا، یک پروتکل امور مالی غیر متمرکز با اجرای خودکار، طبق گزارش شرکت امنیت بلاکچین PeckShield، صبح زود سه‌شنبه مورد حمله قرار گرفت که استخر نقدینگی DUSD/USDC آن را در Curve تخلیه کرد. 

گزارش شده است که ماکینا فایننس حدود 1,299 اتر از استخر استیبل کوین Curve خود را به هکرها از دست داده است. ارزش آن در آن زمان حدود 4.13 میلیون دلار بود. طبق تحلیل Peckshield، مهاجمان تامین کنندگان نقدینگی غیرحضانتی پروتکل را در استخر DUSD/USDC CurveStable، که از اوراکل فید داده قیمت‌گذاری آن‌چین استفاده می‌کند، نقض کردند. 

اوراکل‌ها اطلاعات خارجی مانند قیمت دارایی‌ها را به قراردادهای هوشمند ارائه می‌دهند که هکرها در میانه تراکنش از آن سوء استفاده کردند و توکن‌ها را با نرخ مصنوعی مطلوب برداشت کردند.

هکر ماکینا از وام‌های فلش برای سرقت 5 میلیون دلار استفاده کرد

طبق گفته یک مهندس امنیتی در CertiK، مجرم با قرض کردن 280 میلیون USDC بدون وثیقه پیش‌پرداخت، به شرطی که وجوه در همان تراکنش بازپرداخت شود، شروع کرد.

از مبلغ قرض گرفته شده، حدود 170 میلیون USDC برای دخالت در MachineShareOracle که مسئول گزارش قیمت سهام به استخر است، استفاده شد. پس از تزریق سرمایه قرض گرفته شده از طریق وام فلش، آن‌ها توانستند به طور موقت داده‌های قیمت اوراکل را منحرف کنند و آن را فریب دهند تا به اطلاعات قیمت‌گذاری نادرست اعتماد کند.

وقتی اوراکل شروع به گزارش مقادیر تورم‌یافته کرد، مهاجم تقریباً 110 میلیون USDC را در برابر استخری که تنها حدود 5 میلیون دلار نقدینگی داشت، سواپ کرد. از آنجایی که استخر فکر می‌کرد دارایی‌ها بیش از ارزش واقعی‌شان ارزش دارند، بسیار بیشتر از آنچه باید پرداخت می‌کرد و خود را خالی کرد. 

"یک اوراکل قیمت سهام در میانه تراکنش فشار داده شد و به استخر Curve اجازه داد با نرخ تورم‌یافته پرداخت کند. حدود 5.1 میلیون USDC از استخر DUSD/USDC خارج شد، مهاجم حدود 4.1 میلیون دلار سود کرد،" مهندس امنیتی گفت.

ماکینا فایننس در فوریه گذشته راه‌اندازی شد و خود را به عنوان یک موتور اجرای دیفای درجه سازمانی معرفی می‌کند. طبق داده‌های DeFiLlama، این پروتکل تقریباً 100.49 میلیون دلار ارزش کل قفل شده دارد. 

سازنده MEV اعداد سوءاستفاده ماکینا را 800 هزار دلار کاهش داد

هکر درآمد DUSD را گرفت و آن‌ها را به اتر سواپ کرد و چندین تراکنش را برای تثبیت و تغییر موقعیت دارایی‌ها اجرا کرد. با این حال، طبق گفته CertiK، تراکنش سوءاستفاده تا حدی توسط یک سازنده MEV پیشی گرفته شد. 

حداکثر ارزش قابل استخراج سودی است که سازندگان بلوک و اعتبارسنج‌ها می‌توانند با مرتب‌سازی مجدد، تزریق و سانسور تراکنش‌ها قبل از پردازش آن‌چین به حداکثر برسانند. در این مورد، یک نهاد MEV که با پیشوند آدرس 0xa6c2 شناسایی شد، اکثریت ارزش را هنگام وقوع سوءاستفاده به دست آورد. 

CertiK تخمین زد که سازنده MEV تقریباً 4.14 میلیون دلار از 5 میلیون دلاری که از استخر استیبل کوین برداشت کرده بودند، تصرف کرد.

مسیریابی MEV اتر باقی‌مانده را بین دو آدرس تقسیم کرد: اولی (0xbed) 3.3 میلیون دلار در ETH نگه داشت و دیگری (0x573d) تقریباً 276 ETH نگه داشت.

حدود ساعت 06:42 صبح UTC سه‌شنبه، ماکینا فایننس بیانیه‌ای در X نوشت که هک را تأیید کرد اما اصرار داشت که این مسئله بر کل زیرساخت پروتکل تأثیر نگذاشته است.

ماکینا همچنین از تامین کنندگان نقدینگی در استخر DUSD Curve خواست که نقدینگی خود را حذف کنند زیرا "مراحل بعدی مناسب برای کاربران و LPهای آسیب‌دیده" را تعیین می‌کند. تیم همچنین قول داد به محض تکمیل بررسی حادثه، به‌روزرسانی‌های بیشتری را به جامعه ارائه دهد.

حمله وام فلش پروتکل دیفای نشان‌دهنده بدشگونی برای سالی است که کاربران کریپتو امیدوار بودند بدون آسیب از آن عبور کنند، پس از سال وحشتناک 2025 که شاهد سرقت بیش از 3 میلیارد دلار از بازار بود. 

گزارش امنیت و کلاهبرداری Web3 از Cyvers 108 حادثه مرتبط با کلاهبرداری و امنیت را در سال گذشته ثبت کرد و حدود 16 میلیارد دلار در دارایی‌های کریپتو کلاهبرداری شد از حداقل 140 صرافی و پلتفرم معاملاتی.

Cyvers همچنین بیش از 4.2 میلیون تراکنش کلاهبرداری از 780,000 آدرس و نزدیک به 19,000 شبکه کلاهبرداری فعال را گزارش کرد که شامل دارایی‌هایی مانند USDT، ETH و USDC می‌شود.

اگر این را می‌خوانید، از قبل جلوتر هستید. با خبرنامه ما آنجا بمانید.