Makina suferă o exploatare de 4,13 milioane $ în pool-ul Curve DUSD/USDC

Makina, un protocol de finanțe descentralizate cu execuție automatizată, a suferit un exploit marți dimineața devreme care a golit pool-ul său de lichiditate DUSD/USDC pe Curve, conform companiei de securitate blockchain PeckShield. 

Makina Finance ar fi pierdut aproximativ 1.299 Ether din pool-ul său de stablecoin Curve în favoarea hackerilor. Valoarea la momentul respectiv era de aproximativ 4,13 milioane de dolari. Conform analizei Peckshield, atacatorii au încălcat furnizorii de lichiditate non-custodial ai protocolului pe pool-ul CurveStable DUSD/USDC, care folosește un oracle de date de preț on-chain. 

Oracle-urile furnizează contractelor inteligente informații externe, cum ar fi prețurile activelor, pe care hackerii le-au exploatat în mijlocul tranzacției și au retras token-urile la o rată artificial favorabilă.

Hackerul Makina a folosit împrumuturi flash pentru a fura 5 milioane de dolari

Conform unui inginer de securitate de la CertiK, făptuitorul a început prin a împrumuta 280 de milioane USDC fără colateral inițial, cu condiția ca fondurile să fie rambursate în aceeași tranzacție.

Din suma împrumutată, aproximativ 170 de milioane USDC au fost folosite pentru a interfera cu MachineShareOracle, care este responsabil de raportarea prețurilor acțiunilor către pool. După injectarea capitalului împrumutat prin intermediul unui împrumut flash, au reușit să denatureze temporar datele de preț ale oracle-ului și să-l păcălească să aibă încredere în informații de preț inexacte.

Când oracle-ul a început să raporteze valori umflate, atacatorul a schimbat aproximativ 110 milioane USDC contra unui pool care deținea doar aproximativ 5 milioane de dolari în lichiditate. Deoarece pool-ul credea că activele valorau mai mult decât valorau în realitate, a plătit mult mai mult decât ar fi trebuit și s-a golit. 

"Un oracle de preț al acțiunilor a fost împins în mijlocul tranzacției, permițând unui pool Curve să plătească la o rată umflată. ~5,1M USDC au părăsit pool-ul DUSD/USDC, atacatorul obține un profit de aproximativ 4,1M", a declarat inginerul de securitate.

Makina Finance a fost lansat în februarie anul trecut, promovându-se ca un motor de execuție DeFi de grad institutional. Conform datelor de la DeFiLlama, protocolul deține aproximativ 100,49 milioane de dolari în valoare totală blocată. 

Builder-ul MEV a redus cifrele exploitului Makina cu 800k dolari

Hackerul a luat veniturile DUSD și le-a schimbat în ether, executând mai multe tranzacții pentru a consolida și repoziția activele. Cu toate acestea, conform CertiK, tranzacția de exploit a fost parțial frontrun de un builder MEV. 

Valoarea maximă extractibilă este profitul pe care fie constructorii de blocuri, fie validatorii îl pot maximiza prin reordonarea, injectarea și cenzurarea tranzacțiilor înainte de a fi procesate on-chain. În acest caz, o entitate MEV identificată prin prefixul de adresă 0xa6c2 a acumulat cea mai mare parte a valorii pe măsură ce exploitul se desfășura. 

CertiK a estimat că builder-ul MEV a confiscat aproximativ 4,14 milioane de dolari din cei 5 milioane de dolari pe care i-au retras din pool-ul de stablecoin.

Rutarea MEV a împărțit ether-ul rămas între două adrese: prima (0xbed) deținea 3,3 milioane de dolari în ETH, iar cealaltă (0x573d) deținea aproximativ 276 ETH.

La aproximativ 6:42 AM UTC marți, Makina Finance a scris o declarație pe X recunoscând hack-ul, dar a insistat că problema nu a afectat întreaga infrastructură a protocolului.

Makina a cerut, de asemenea, furnizorilor de lichiditate din pool-ul DUSD Curve să își retragă lichiditatea în timp ce determină "următorii pași adecvați pentru utilizatorii și LP-urile afectate". Echipa a promis, de asemenea, să ofere comunității mai multe actualizări de îndată ce revizuirea incidentului este finalizată.

Atacul cu împrumut flash al protocolului DeFi vestește ghinion pentru un an de care utilizatorii crypto sperau să scape nevătămați, după un 2025 teribil care a văzut peste 3 miliarde de dolari furați de pe piață. 

Un Raport Web3 de Securitate și Fraudă de la Cyvers a documentat 108 incidente legate de fraudă și securitate anul trecut, și aproximativ 16 miliarde de dolari în active crypto escrocate de la cel puțin 140 de schimburi și platforme de tranzacționare.

Cyvers a raportat, de asemenea, mai mult de 4,2 milioane de tranzacții frauduloase de la 780.000 de adrese și aproape 19.000 de rețele active de fraudă, implicând active precum USDT, ETH și USDC.

Dacă citești acest lucru, ești deja în avans. Rămâi acolo cu newsletter-ul nostru.