Makina Finance, sebuah protokol keuangan terdesentralisasi di Ethereum, kehilangan sekitar $4,2 juta setelah seorang penyerang mengeksploitasi mekanisme oracle yang rentan di pool stableswap DUSD/USDC, dengan perusahaan keamanan blockchain CertiK menelusuri sebagian besar dana yang dicuri ke sebuah alamat MEV builder.
Apa yang Terjadi: Pool Stableswap Dikuras
Penyerang menggunakan pinjaman kilat sebesar 280 juta USDC untuk menjalankan eksploitasi tersebut, menurut analisis CertiK.
Sekitar 170 juta USDC digunakan untuk memanipulasi MachineShareOracle yang menjadi acuan harga bagi pool DUSD/USDC.
The remaining 110 million USDC was then traded against the roughly $5 million pool, draining it almost entirely.
Peneliti keamanan n0b0dy mengidentifikasi akar masalahnya sebagai sebuah fungsi permissionless bernama "updateTotalAum()" yang memungkinkan siapa pun menyegarkan price anchor protokol di tengah transaksi.
Oracle tersebut tidak memiliki jeda waktu, perhitungan harga rata-rata tertimbang volume, maupun kontrol akses — sehingga penyerang dapat memasukkan saldo pool yang sudah dimanipulasi ke dalam sistem akuntansi hanya dalam satu transaksi.
Sistem keamanan TenArmor mendeteksi serangan tersebut dan mengonfirmasi kerugian sekitar $4,2 juta.
Juga Baca: [Ethereum Staking Hits 30% All-Time High As $115B Gets Locked Away(https://yellow.com/news/ethereum-staking-hits-30-all-time-high-as-dollar115b-gets-locked-away)
Mengapa Penting: Cacat Desain Oracle
Eksploitasi ini menyoroti kerentanan yang terus berulang di protokol DeFi yang bergantung pada oracle harga spot tanpa pengaman yang memadai.
Ketika harga saham dapat diperbarui seketika dari saldo pool saat ini, ketidakseimbangan sementara yang diciptakan oleh pinjaman kilat dapat menjadi “kebenaran” harga yang bisa dieksploitasi dalam perhitungan.
Setiap pool yang memperdagangkan DUSD terhadap oracle tersebut pada dasarnya berubah menjadi mekanisme pembayaran bagi penyerang.
Baca Selanjutnya: ASTER Hits All-Time Low At $0.61 Despite Strategic Buyback Activation