Ethereum DeFi platform Makina Finance ha perso 1.299 ETH per un valore di circa 4,1 milioni di dollari il 20 gennaio, dopo che gli hacker hanno manipolato gli oracle dei prezzi nel pool di liquidità DUSD-USDC ospitato su Curve Finance.
Un MEV builder ha frontran l’attacco e ha catturato la maggior parte dei fondi rubati, complicando gli sforzi di recupero per il protocollo di gestione del rendimento lanciato a febbraio 2025.
La società di sicurezza blockchain PeckShield ha individuato per prima l’exploit alle 03:40:35 UTC, con l’attaccante che ha convertito i token rubati in ETH tramite due wallet che attualmente hold gli asset.
Cosa è successo
L’attaccante ha preso in prestito un flash loan di 280 milioni di USDC, utilizzandone 170 milioni per manipolare il MachineShareOracle che determina i prezzi per il pool di stablecoin Dialectic USD e Dialectic USDC.
Dopo aver gonfiato artificialmente i prezzi del pool, l’attaccante ha scambiato 110 milioni di USDC contro il pool manipolato per drenare 1.299 ETH prima di rimborsare il flash loan.
PeckShield ha confermato che l’attacco ha sfruttato una vulnerabilità di manipolazione dei prezzi, con il responsabile che ha aggiunto liquidità immediatamente prima di gonfiare i prezzi e l’ha poi ritirata con profitto.
Tuttavia, un indirizzo MEV builder che inizia con 0xa6c2 ha frontran la transazione che ha prosciugato il pool, catturando circa 4,14 milioni di dollari dei fondi rubati.
Leggi anche: Japan Bond Yields Hit Multi-Decade Highs, Threatening Global Crypto Liquidity
Stato attuale
Gli ETH rubati si trovano attualmente in due indirizzi Ethereum: il wallet 0xbed2...dE25 detiene 3,3 milioni di dollari e il wallet 0x573d...910e contiene 880.000 dollari.
Makina ha activated la modalità di sicurezza su tutti i suoi smart vault e ha consigliato ai fornitori di liquidità del pool DUSD su Curve di ritirare i fondi rimanenti.
La piattaforma ha confermato che l’exploit ha colpito solo le posizioni dei fornitori di liquidità DUSD su Curve, mentre gli altri asset e le altre implementazioni sono rimasti invariati.
Le società di sicurezza tra cui PeckShield, ExVul e TenArmor hanno esortato gli utenti a revocare le autorizzazioni ai contratti smart e a evitare di interagire con i contratti di Makina in attesa delle indagini.
Contesto sulla sicurezza DeFi
Gli exploit tramite flash loan restano comuni nonostante i miglioramenti nella sicurezza: l’exchange decentralizzato Bunni ha perso 8,4 milioni di dollari nell’ottobre 2025 e Shibarium ha subito un attacco da 2,4 milioni di dollari a settembre.
Tuttavia, i dati di Chainalysis mostrano che le perdite dovute ad hack DeFi sono rimaste contenute per tutto il 2025, anche se il totale del valore bloccato ha raggiunto 119 miliardi di dollari, segnando una rottura con i modelli storici in cui l’afflusso di capitali era correlato a un aumento degli attacchi.
Il totale delle criptovalute rubate ha raggiunto 3,4 miliardi di dollari nel 2025, ma il focus degli attacchi si è spostato verso exchange centralizzati e wallet personali, anziché verso i protocolli DeFi.
Read next: Russian Lawmakers Propose Harsh Mining Penalties: Individuals Face $1,500 Fines, Companies $100K+