Makina subit une exploitation de 4,13 M$ dans le pool Curve DUSD/USDC

Makina, un protocole de Finance Décentralisée avec exécution automatisée, a subi une exploitation mardi matin tôt qui a vidé son pool de liquidité DUSD/USDC sur Curve, selon la société de sécurité blockchain PeckShield. 

Makina Finance aurait perdu environ 1 299 Ether de son pool de stablecoin Curve aux mains de hackers. Il était évalué à environ 4,13 millions de dollars à ce moment-là. Selon l'analyse de Peckshield, les attaquants ont violé les fournisseurs de liquidité non-dépositaires du protocole sur le pool CurveStable DUSD/USDC, qui utilise un oracle de flux de données de prix on-chain. 

Les oracles fournissent aux smart contracts des informations externes, telles que les prix des actifs, que les hackers ont exploitées en cours de transaction et ont retiré les tokens à un taux artificiellement favorable.

Le hacker de Makina a utilisé des prêts flash pour siphonner 5 millions de dollars

Selon un ingénieur en sécurité chez CertiK, l'auteur a commencé par emprunter 280 millions d'USDC sans collatéral initial, à condition que les fonds soient remboursés dans la même transaction.

Sur le montant emprunté, environ 170 millions d'USDC ont été utilisés pour interférer avec le MachineShareOracle, qui est responsable de rapporter les prix des actions au pool. Après avoir injecté du capital emprunté via un prêt flash, ils ont pu temporairement fausser les données de prix de l'oracle et le tromper pour qu'il fasse confiance à des informations de prix inexactes.

Lorsque l'oracle a commencé à signaler des valeurs gonflées, l'attaquant a échangé environ 110 millions d'USDC contre un pool qui ne détenait qu'environ 5 millions de dollars de liquidité. Puisque le pool croyait que les actifs valaient plus qu'ils ne valaient réellement, il a payé beaucoup plus qu'il n'aurait dû et s'est vidé. 

"Un oracle de prix d'action a été poussé en cours de transaction, permettant à un pool Curve de payer à un taux gonflé. ~5,1 M d'USDC ont quitté le pool DUSD/USDC, l'attaquant profite d'environ 4,1 M," a déclaré l'ingénieur en sécurité.

Makina Finance a été lancé en février dernier, se présentant comme un moteur d'exécution DeFi de qualité institutionnelle. Selon les données de DeFiLlama, le protocole détient environ 100,49 millions de dollars en valeur totale verrouillée. 

Le constructeur MEV a réduit les chiffres de l'exploitation de Makina de 800 000 $

Le hacker a pris les gains en DUSD et les a échangés contre de l'ether, exécutant plusieurs transactions pour consolider et repositionner les actifs. Cependant, selon CertiK, la transaction d'exploitation a été partiellement devancée par un constructeur MEV. 

La valeur extractible maximale est le profit que les constructeurs de blocs et les validateurs peuvent maximiser en réorganisant, injectant et censurant les transactions avant qu'elles ne soient traitées on-chain. Dans ce cas, une entité MEV identifiée par le préfixe d'adresse 0xa6c2 a accumulé la majorité de la valeur pendant que l'exploitation se déroulait. 

CertiK a estimé que le constructeur MEV a saisi environ 4,14 millions de dollars sur les 5 millions de dollars qu'ils avaient retirés du pool de stablecoin.

Le routage MEV a divisé l'ether restant entre deux adresses : la première (0xbed) détenait 3,3 millions de dollars en ETH, et l'autre (0x573d) détenait environ 276 ETH.

Vers 6h42 UTC mardi, Makina Finance a écrit une déclaration sur X reconnaissant le piratage mais a insisté sur le fait que le problème n'affectait pas l'ensemble de l'infrastructure du protocole.

Makina a également demandé aux fournisseurs de liquidité du pool DUSD Curve de retirer leur liquidité pendant qu'il détermine "les prochaines étapes appropriées pour les utilisateurs et les LP affectés." L'équipe a également promis de fournir à la communauté plus de mises à jour dès que l'examen de l'incident sera terminé.

L'attaque par prêt flash du protocole DeFi annonce le désastre pour une année que les utilisateurs de crypto espéraient traverser indemnes, après une terrible année 2025 qui a vu plus de 3 milliards de dollars volés sur le marché. 

Un rapport sur la sécurité et la fraude Web3 de Cyvers a documenté 108 incidents liés à la fraude et à la sécurité l'année dernière, et environ 16 milliards de dollars d'actifs crypto escroqués d'au moins 140 plateformes d'échange et de trading.

Cyvers a également signalé plus de 4,2 millions de transactions frauduleuses provenant de 780 000 adresses et près de 19 000 réseaux de fraude actifs, impliquant des actifs tels que USDT, ETH et USDC.

Si vous lisez ceci, vous êtes déjà en avance. Restez-y avec notre newsletter.