Makina потерпела эксплойт на $4,13 млн в пуле Curve DUSD/USDC

Makina, протокол децентрализованных финансов с автоматизированным исполнением, подвергся эксплойту рано утром во вторник, что привело к опустошению его пула ликвидности DUSD/USDC на Curve, согласно блокчейн-компании по безопасности PeckShield. 

Makina Finance, как сообщается, потерял около 1 299 Ether из своего стейблкоин пула Curve в результате действий хакеров. На тот момент это оценивалось примерно в 4,13 миллиона $. Согласно анализу Peckshield, злоумышленники взломали некастодиальных провайдеров ликвидности протокола в пуле DUSD/USDC CurveStable, который использует оракул на основе ценовых данных в цепи. 

Оракулы предоставляют смарт-контрактам внешнюю информацию, такую как цены активов, которую хакеры использовали в середине транзакции и вывели токены по искусственно выгодному курсу.

Хакер Makina использовал флеш-кредиты, чтобы украсть 5 миллионов $

Согласно инженеру по безопасности в CertiK, злоумышленник начал с заимствования 280 миллионов USDC без предварительного залога, при условии, что средства будут возвращены в той же транзакции.

Из заимствованной суммы около 170 миллионов USDC было использовано для вмешательства в MachineShareOracle, который отвечает за передачу цен акций в пул. После внедрения капитала, заимствованного через флеш-кредит, им удалось временно исказить ценовые данные оракула и обманом заставить его доверять неточной ценовой информации.

Когда оракул начал сообщать завышенные значения, злоумышленник обменял примерно 110 миллионов USDC против пула, который содержал всего около 5 миллионов $ ликвидности. Поскольку пул считал, что активы стоят больше, чем они были на самом деле, он выплатил гораздо больше, чем должен был, и опустошил себя. 

"Оракул цены акций был модифицирован в середине транзакции, позволив пулу Curve выплатить по завышенному курсу. ~5,1 миллиона USDC покинули пул DUSD/USDC, злоумышленник получил прибыль около 4,1 миллиона", - сказал инженер по безопасности.

Makina Finance был запущен в феврале прошлого года, позиционируя себя как движок исполнения DeFi институционального уровня. Согласно данным DeFiLlama, протокол удерживает приблизительно 100,49 миллиона $ общей заблокированной стоимости. 

MEV-строитель сократил сумму эксплойта Makina на 800 000 $

Хакер взял доходы в DUSD и обменял их на эфир, выполнив несколько транзакций для консолидации и перемещения активов. Однако, согласно CertiK, транзакция эксплойта была частично перехвачена MEV-строителем. 

Максимальная извлекаемая стоимость - это прибыль, которую строители блоков и валидаторы могут максимизировать путем переупорядочивания, внедрения и цензурирования транзакций перед их обработкой в цепи. В данном случае MEV-объект, идентифицированный префиксом адреса 0xa6c2, собрал большую часть стоимости в ходе эксплойта. 

CertiK оценил, что MEV-строитель захватил приблизительно 4,14 миллиона $ из 5 миллионов $, которые они вывели из стейблкоин пула.

MEV-маршрутизация разделила оставшийся эфир между двумя адресами: первый (0xbed) содержал 3,3 миллиона $ в ETH, а другой (0x573d) содержал приблизительно 276 ETH.

Примерно в 06:42 по UTC во вторник, Makina Finance написал заявление в X, признав взлом, но настаивая, что проблема не затронула всю инфраструктуру протокола.

Makina также попросил провайдеров ликвидности в пуле DUSD Curve удалить свою ликвидность, пока определяются "соответствующие следующие шаги для затронутых пользователей и LP". Команда также пообещала предоставить сообществу больше обновлений, как только проверка инцидента будет завершена.

Атака флеш-кредитом на DeFi-протокол предвещает беду на год, от которого криптопользователи надеялись уйти невредимыми, после ужасного 2025 года, в котором было украдено более 3 миллиардов $ с рынка. 

Отчет о безопасности и мошенничестве Web3 от Cyvers задокументировал 108 инцидентов, связанных с мошенничеством и безопасностью, в прошлом году, и около 16 миллиардов $ криптоактивов было похищено как минимум из 140 бирж и торговых платформ.

Cyvers также сообщил о более чем 4,2 миллиона мошеннических транзакций с 780 000 адресов и почти 19 000 активных мошеннических сетей, включающих такие активы, как USDT, ETH и USDC.

Если вы читаете это, вы уже впереди. Оставайтесь там с нашей рассылкой.