Makina зазнала експлуатації на $4,13 млн у пулі DUSD/USDC Curve

Makina, протокол децентралізованих фінансів з автоматичним виконанням, зазнав експлойту рано вранці у вівторок, який виснажив його пул ліквідності DUSD/USDC на Curve, повідомляє блокчейн-компанія з безпеки PeckShield. 

За повідомленнями, Makina Finance втратив близько 1 299 Ether зі свого пулу стейкінгу Curve на користь хакерів. На той час його вартість становила близько 4,13 мільйона доларів. Згідно з аналізом Peckshield, зловмисники зламали некастодіальних постачальників ліквідності протоколу в пулі DUSD/USDC CurveStable, який використовує ончейн оракул ціноутворення. 

Оракули надають смартконтрактам зовнішню інформацію, таку як ціни на активи, яку хакери використали під час транзакції та вивели токени за штучно вигідним курсом.

Хакер Makina використав флеш-кредити, щоб викрасти 5 мільйонів доларів

За словами інженера з безпеки в CertiK, зловмисник почав з позики 280 мільйонів USDC без попередньої застави, за умови, що кошти будуть повернені в тій самій транзакції.

З позиченої суми близько 170 мільйонів USDC було використано для втручання в MachineShareOracle, який відповідає за звітність про ціни акцій у пулі. Після введення капіталу, позиченого через флеш-кредит, вони змогли тимчасово спотворити цінові дані оракула та обманом змусити його довіряти неточній інформації про ціноутворення.

Коли оракул почав повідомляти завищені значення, зловмисник обміняв приблизно 110 мільйонів USDC у пулі, який мав лише близько 5 мільйонів доларів ліквідності. Оскільки пул вважав, що активи коштують більше, ніж насправді, він виплатив набагато більше, ніж повинен був, і спорожнів. 

"Оракул ціни акцій було підштовхнуто під час транзакції, дозволивши пулу Curve виплатити за завищеним курсом. ~5,1 млн USDC залишили пул DUSD/USDC, зловмисник отримав прибуток близько 4,1 млн", — сказав інженер з безпеки.

Makina Finance був запущений минулого лютого, позиціонуючи себе як виконавчий механізм DeFi (Децентралізовані фінанси) інституційного рівня. Згідно з даними DeFiLlama, протокол утримує приблизно 100,49 мільйона доларів у загальній заблокованій вартості. 

MEV-будівельник скоротив кількість експлойту Makina на 800 тисяч доларів

Хакер взяв надходження DUSD і обміняв їх на ефір, виконавши кілька транзакцій для консолідації та репозиціонування активів. Однак, згідно з CertiK, транзакцію експлойту частково випередив MEV-будівельник. 

Максимальна видобувна вартість — це прибуток, який будівельники блоків і валідатори можуть максимізувати шляхом перевпорядкування, впровадження та цензури транзакцій перед їх обробкою в ланцюзі. У цьому випадку MEV-суб'єкт, ідентифікований за префіксом адреси 0xa6c2, отримав більшу частину вартості під час експлойту. 

CertiK підрахував, що MEV-будівельник захопив приблизно 4,14 мільйона доларів із 5 мільйонів доларів, які вони вивели з пулу стейкінгу.

MEV-маршрутизація розподілила решту ефіру між двома адресами: перша (0xbed) утримувала 3,3 мільйона доларів у ETH, а інша (0x573d) утримувала приблизно 276 ETH.

Приблизно о 6:42 ранку UTC у вівторок Makina Finance написав заяву в X, визнаючи злом, але наполягаючи, що проблема не вплинула на всю інфраструктуру протоколу.

Makina також попросив постачальників ліквідності в пулі DUSD Curve вивести свою ліквідність, оскільки визначає "відповідні наступні кроки для постраждалих користувачів і постачальників ліквідності". Команда також пообіцяла надати спільноті більше оновлень, як тільки перегляд інциденту буде завершено.

Атака флеш-кредиту протоколу DeFi (Децентралізовані фінанси) означає doom для року, який криптокористувачі сподівалися пройти неушкодженими, після жахливого 2025 року, коли з ринку було викрадено понад 3 мільярди доларів. 

Звіт Web3 про безпеку та шахрайство від Cyvers задокументував 108 інцидентів, пов'язаних із шахрайством і безпекою минулого року, і близько 16 мільярдів доларів у криптоактивах було викрадено щонайменше зі 140 бірж і торгових платформ.

Cyvers також повідомив про понад 4,2 мільйона шахрайських транзакцій із 780 000 адрес і майже 19 000 активних мереж шахрайства, що включають такі активи, як USDT, ETH і USDC.

Якщо ви читаєте це, ви вже попереду. Залишайтеся там з нашою розсилкою.