Makina mengalami eksploitasi senilai $4,13 juta di pool Curve DUSD/USDC

Makina, sebuah protokol keuangan terdesentralisasi dengan eksekusi otomatis, mengalami eksploitasi pada Selasa pagi yang menguras pool likuiditas DUSD/USDC di Curve, menurut perusahaan keamanan blockchain PeckShield. 

Makina Finance dilaporkan kehilangan sekitar 1.299 Ether dari pool stablecoin Curve kepada peretas. Nilainya sekitar $4,13 juta pada saat itu. Berdasarkan analisis Peckshield, penyerang menerobos penyedia likuiditas non-kustodian protokol pada pool DUSD/USDC CurveStable, yang menggunakan oracle umpan data harga on-chain. 

Oracle menyediakan kontrak pintar dengan informasi eksternal, seperti harga aset, yang dieksploitasi oleh peretas di tengah transaksi dan menarik token pada tingkat yang menguntungkan secara artifisial.

Peretas Makina menggunakan flash loan untuk merampas $5 juta

Menurut seorang insinyur keamanan di CertiK, pelaku memulai dengan meminjam 280 juta USDC tanpa jaminan di muka, dengan syarat bahwa dana akan dikembalikan dalam transaksi yang sama.

Dari jumlah yang dipinjam, sekitar 170 juta USDC digunakan untuk mengganggu MachineShareOracle, yang bertanggung jawab untuk melaporkan harga saham ke pool. Setelah menyuntikkan modal yang dipinjam melalui flash loan, mereka dapat memiringkan data harga oracle secara sementara dan menipunya agar mempercayai informasi harga yang tidak akurat.

Ketika oracle mulai melaporkan nilai yang dipompa, penyerang menukar sekitar 110 juta USDC terhadap pool yang hanya memegang sekitar $5 juta dalam likuiditas. Karena pool percaya aset bernilai lebih dari yang sebenarnya, ia membayar jauh lebih banyak dari yang seharusnya dan mengosongkan dirinya sendiri. 

"Oracle harga saham dipush di tengah-tx, membuat pool Curve membayar pada tingkat yang dipompa. ~5,1M USDC keluar dari pool DUSD/USDC, penyerang mendapat keuntungan sekitar 4,1M," kata insinyur keamanan tersebut.

Makina Finance diluncurkan pada Februari lalu, memasarkan dirinya sebagai mesin eksekusi DeFi tingkat institusional. Menurut data dari DeFiLlama, protokol ini memegang sekitar $100,49 juta dalam total value locked. 

MEV builder memotong angka eksploitasi Makina sebesar $800k

Peretas mengambil hasil DUSD dan menukarnya menjadi ether, menjalankan beberapa transaksi untuk mengkonsolidasikan dan memposisikan ulang aset. Namun, menurut CertiK, transaksi eksploitasi sebagian didahului oleh MEV builder. 

Maximal extractable value adalah keuntungan yang dapat dimaksimalkan oleh block builder dan validator dengan mengurutkan ulang, menyuntikkan, dan menyensor transaksi sebelum diproses on-chain. Dalam kasus ini, entitas MEV yang diidentifikasi dengan awalan alamat 0xa6c2 mengumpulkan sebagian besar nilai saat eksploitasi terjadi. 

CertiK memperkirakan bahwa MEV builder merebut sekitar $4,14 juta dari $5 juta yang telah mereka tarik dari pool stablecoin.

Routing MEV membagi ether yang tersisa antara dua alamat: yang pertama (0xbed) memegang $3,3 juta dalam ETH, dan yang lain (0x573d) memegang sekitar 276 ETH.

Sekitar pukul 6:42 pagi UTC Selasa, Makina Finance menulis sebuah pernyataan di X yang mengakui peretasan tetapi menegaskan bahwa masalah tersebut tidak mempengaruhi seluruh infrastruktur protokol.

Makina juga meminta penyedia likuiditas di pool DUSD Curve untuk menghapus likuiditas mereka saat menentukan "langkah selanjutnya yang tepat untuk pengguna dan LP yang terkena dampak." Tim juga berjanji untuk memberikan komunitas lebih banyak pembaruan segera setelah tinjauan insiden selesai.

Serangan flash loan protokol DeFi ini mengeja malapetaka untuk tahun yang diharapkan pengguna kripto untuk dapat melewatinya tanpa cedera, setelah tahun 2025 yang mengerikan yang melihat lebih dari $3 miliar dicuri dari pasar. 

Laporan Keamanan dan Penipuan Web3 dari Cyvers mendokumentasikan 108 insiden terkait penipuan dan keamanan tahun lalu, dan sekitar $16 miliar aset kripto ditipu dari setidaknya 140 bursa dan platform perdagangan.

Cyvers juga melaporkan lebih dari 4,2 juta transaksi penipuan dari 780.000 alamat dan hampir 19.000 jaringan penipuan aktif, melibatkan aset seperti USDT, ETH, dan USDC.

Jika Anda membaca ini, Anda sudah unggul. Tetap di sana dengan newsletter kami.