Ethereum のDeFiプラットフォーム Makina Finance は、2026年1月20日にハッカーが DUSD-USDC 流動性プール上の価格オラクルを操作したことで、約1,299 ETH(約410万ドル相当)を流出しました。このプールは Curve Finance 上に構築されています。
MEVビルダーが攻撃を frontran し、盗まれた資金の大部分を取得したことで、2025年2月にローンチした利回り運用プロトコルによる資金回収は一層困難になっています。
ブロックチェーンセキュリティ企業 PeckShield は、協定世界時03:40:35にこの不正行為を最初に検知しました。攻撃者は盗んだトークンを2つのウォレットでETHにスワップしており、これらのアドレスが現在資産を 保有 しています。
何が起きたのか
攻撃者はまず2億8,000万USDCのフラッシュローンを借り、そのうち1億7,000万USDCを使用して、Dialectic USDおよびDialectic USDCステーブルコインプールの価格を決定するMachineShareOracleを操作しました。
プール価格を人為的に引き上げた後、攻撃者は操作されたプールに対して1億1,000万USDCをトレードし、フラッシュローンを返済する前に1,299 ETHを抜き取りました。
PeckShieldは、この攻撃が価格操作の脆弱性を悪用したものであり、攻撃者は価格を吊り上げる直前に流動性を追加し、その後利益を得て引き出したと分析しています。
しかし、先頭が0xa6c2で始まるMEVビルダーアドレスが、プールを空にしたトランザクションをフロントランし、盗難資金のうち約414万ドルを取得したとみられています。
関連記事: Japan Bond Yields Hit Multi-Decade Highs, Threatening Global Crypto Liquidity
現在の状況
盗まれたETHは現在、2つのイーサリアムアドレスに分散して保管されています。ウォレット0xbed2...dE25が約330万ドル、ウォレット0x573d...910eが約88万ドルを保有しています。
Makinaは、すべてのスマートボールトでセキュリティモードを 起動 し、DUSD Curveプールの流動性提供者に対して残っている資金を引き出すよう勧告しました。
プラットフォーム側は、今回の不正がCurve上のDUSD流動性提供ポジションのみに影響し、その他の資産やデプロイメントは影響を受けていないと説明しています。
PeckShield, ExVul, TenArmor などのセキュリティ企業は、ユーザーに対し、スマートコントラクトの承認を取り消し、調査が完了するまでMakinaのコントラクトと相互作用しないよう呼びかけています。
DeFiセキュリティの背景
セキュリティの向上にもかかわらず、フラッシュローンを利用した攻撃は依然として頻発しています。分散型取引所Bunniは2025年10月に840万ドルの損失を出し、Shibarium も9月に240万ドル規模の攻撃を受けました。
ただし、Chainalysisのデータによると、2025年を通じてDeFiにおけるハッキング損失は抑制された状態が続きました。一方で、ロックされた総価値は1,190億ドルに達し、これまで見られた「資本流入の増加に伴い攻撃も増える」というパターンからの乖離が示されています。
2025年の暗号資産全体の盗難額は340億ドルに上りましたが、攻撃の焦点はDeFiプロトコルから中央集権型取引所や個人ウォレットへとシフトしたと分析されています。
次に読む: Russian Lawmakers Propose Harsh Mining Penalties: Individuals Face $1,500 Fines, Companies $100K+