Makina Finance، وهو بروتوكول تمويل لامركزي على Ethereum، خسر ما يقرب من 4.2 مليون دولار بعد أن استغل مهاجم آلية أوراكل ضعيفة في مجمع المبادلة المستقرة DUSD/USDC، حيث تتبعت شركة أمن البلوكشين CertiK غالبية الأموال المسروقة إلى عنوان منشئ MEV.
ما الذي حدث: استنزاف مجمع المبادلة المستقرة
استخدم المهاجم قرضاً فورياً بقيمة 280 مليون USDC لتنفيذ الاستغلال، وذلك وفقاً لتحليل CertiK.
تم توجيه حوالي 170 مليون USDC إلى التلاعب بـ MachineShareOracle الذي يعتمد عليه مجمع DUSD/USDC في التسعير.
أما الـ 110 ملايين USDC المتبقية فقد تم تداولها مقابل مجمع تبلغ قيمته نحو 5 ملايين دولار، ما أدى إلى استنزافه تقريباً بالكامل.
حدّد الباحث الأمني n0b0dy الجذر الحقيقي للمشكلة على أنه دالة بلا قيود تسمى "updateTotalAum()" تتيح لأي شخص تحديث مرساة السعر الخاصة بالبروتوكول أثناء المعاملة.
كان الأوراكل يفتقر إلى فترات تأخير زمنية، وتسعير متوسط مرجح بالحجم، وضوابط وصول — مما سمح للمهاجم بإدخال أرصدة مجمع مُتلاعب بها في نظام المحاسبة ضمن معاملة واحدة.
أنظمة الأمان TenArmor اكتشفت الهجوم وأكدت خسائر تقارب 4.2 مليون دولار.
اقرأ أيضاً: [Ethereum Staking Hits 30% All-Time High As $115B Gets Locked Away(https://yellow.com/news/ethereum-staking-hits-30-all-time-high-as-dollar115b-gets-locked-away)
لماذا يهم الأمر: عيوب في تصميم الأوراكل
يسلط هذا الاستغلال الضوء على ثغرة مستمرة في بروتوكولات DeFi التي تعتمد على أوراكل بأسعار فورية دون ضوابط حماية مناسبة.
عندما يمكن تحديث أسعار الحصص فوراً انطلاقاً من أرصدة المجمع الحالية، تصبح الاختلالات المؤقتة الناتجة عن القروض الفورية "حقيقة" قابلة للاستغلال في حسابات التسعير.
أي مجمع يتداول DUSD بالاستناد إلى ذلك الأوراكل تحول فعلياً إلى آلية دفع للمهاجم.
اقرأ التالي: ASTER Hits All-Time Low At $0.61 Despite Strategic Buyback Activation