Makina Finance، وهو بروتوكول تمويل لامركزي على شبكة Ethereum، خسر ما يقرب من 4.2 ملايين دولار بعد أن استغل مهاجم آلية أوراكل ضعيفة في مجمّع المبادلة المستقرة الخاص بـ DUSD/USDC، حيث تتبعت شركة أمن البلوكشين CertiK غالبية الأموال المسروقة إلى عنوان منشئ MEV.
ما الذي حدث: استنزاف مجمّع المبادلة المستقرة
استخدم المهاجم قرضاً فورياً بقيمة 280 مليون USDC لتنفيذ الاستغلال، وفقاً لتحليل CertiK.
تم توجيه نحو 170 مليون USDC للتلاعب بـ MachineShareOracle الذي يعتمد عليه مجمّع DUSD/USDC في التسعير.
أما المبلغ المتبقي البالغ 110 ملايين USDC فقد تم تداوله مقابل المجمّع الذي يضم حوالي 5 ملايين دولار، ما أدى إلى استنزافه تقريباً بالكامل.
حدّد الباحث الأمني n0b0dy سبب الخلل الجذري في دالة بلا أذونات تسمى "updateTotalAum()" تسمح لأي شخص بتحديث مرساة السعر الخاصة بالبروتوكول أثناء المعاملة.
كان الأوراكل يفتقر إلى تأخيرات زمنية، وتسعير متوسط مرجّح بالحجم، وضوابط وصول — ما أتاح للمهاجم تضمين أرصدة مجمّع مُتلاعب بها في نظام المحاسبة ضمن معاملة واحدة.
أنظمة الأمان TenArmor اكتشفت الهجوم وأكدت خسائر تقارب 4.2 ملايين دولار.
اطلع أيضاً: [Ethereum Staking Hits 30% All-Time High As $115B Gets Locked Away(https://yellow.com/news/ethereum-staking-hits-30-all-time-high-as-dollar115b-gets-locked-away)
لماذا يُعد الأمر مهماً: عيوب في تصميم الأوراكل
يسلّط هذا الاستغلال الضوء على ثغرة مستمرة في بروتوكولات DeFi التي تعتمد على أوراكل تسعير فوري من دون وسائل حماية كافية.
عندما يمكن تحديث أسعار الحصص فوراً استناداً إلى أرصدة المجمّع الحالية، تصبح الاختلالات المؤقتة الناتجة عن القروض الفورية "حقيقة" قابلة للاستغلال في حساب الأسعار.
أي مجمّع يتداول DUSD اعتماداً على ذلك الأوراكل أصبح فعلياً آلية دفع للمهاجم.
اقرأ التالي: ASTER Hits All-Time Low At $0.61 Despite Strategic Buyback Activation