Ethereum platform DeFi Makina Finance kehilangan 1.299 ETH senilai sekitar $4,1 juta pada 20 Januari setelah peretas memanipulasi oracle harga pada pool likuiditas DUSD-USDC yang dihosting di Curve Finance.
Seorang MEV builder frontran serangan tersebut dan menangkap sebagian besar dana yang dicuri, sehingga mempersulit upaya pemulihan bagi protokol manajemen yield yang diluncurkan pada Februari 2025 itu.
Firma keamanan blockchain PeckShield pertama kali mendeteksi eksploit tersebut pada 03:40:35 UTC, dengan pelaku mengonversi token yang dicuri menjadi ETH melalui dua dompet yang saat ini hold aset tersebut.
Apa yang Terjadi
Pelaku meminjam flash loan sebesar 280 juta USDC, menggunakan 170 juta untuk memanipulasi MachineShareOracle yang menentukan harga untuk pool stablecoin Dialectic USD dan Dialectic USDC.
Setelah secara artifisial menggelembungkan harga pool, pelaku memperdagangkan 110 juta USDC terhadap pool yang telah dimanipulasi untuk menguras 1.299 ETH sebelum melunasi flash loan.
PeckShield mengonfirmasi bahwa serangan tersebut mengeksploitasi kerentanan manipulasi harga, dengan pelaku menambahkan likuiditas sesaat sebelum menaikkan harga lalu menarik dengan membawa keuntungan.
Namun, sebuah alamat MEV builder yang diawali dengan 0xa6c2 melakukan frontrun terhadap transaksi yang menguras pool, dan menangkap sekitar $4,14 juta dari dana yang dicuri.
Baca juga: Japan Bond Yields Hit Multi-Decade Highs, Threatening Global Crypto Liquidity
Status Terkini
ETH hasil curian saat ini berada di dua alamat Ethereum: dompet 0xbed2...dE25 yang memegang $3,3 juta dan dompet 0x573d...910e yang berisi $880.000.
Makina activated mode keamanan pada semua smart vault dan menyarankan penyedia likuiditas pool DUSD di Curve untuk menarik sisa dana.
Platform tersebut mengonfirmasi bahwa eksploit hanya memengaruhi posisi penyedia likuiditas DUSD di Curve, sementara aset dan deployment lainnya tetap tidak terdampak.
Firma keamanan termasuk PeckShield, ExVul, dan TenArmor mendesak pengguna untuk mencabut izin smart contract dan menghindari interaksi dengan kontrak Makina selama investigasi berlangsung.
Konteks Keamanan DeFi
Eksploit flash loan tetap umum terjadi meskipun keamanan meningkat, dengan bursa terdesentralisasi Bunni kehilangan $8,4 juta pada Oktober 2025 dan Shibarium menderita serangan senilai $2,4 juta pada bulan September.
Namun, data Chainalysis menunjukkan kerugian akibat peretasan DeFi tetap rendah sepanjang 2025 meskipun total value locked mencapai $119 miliar, menandai pergeseran dari pola historis ketika lonjakan modal biasanya berkorelasi dengan peningkatan serangan.
Total pencurian cryptocurrency mencapai $3,4 miliar pada 2025, tetapi fokus serangan bergeser ke arah bursa tersentralisasi dan dompet pribadi alih-alih protokol DeFi.