Makina Financeは**Ethereum上の分散型金融プロトコルであり、攻撃者がDUSD/USDCステーブルスワッププールの脆弱なオラクルメカニズムを悪用した結果、約420万ドルを失った。ブロックチェーンセキュリティ企業CertiK**は、盗まれた資金の大部分をMEVビルダーアドレスへと追跡している。
何が起きたのか:ステーブルスワッププールの枯渇
CertiKの分析によると、攻撃者は2億8,000万USDCのフラッシュローンを利用してこの攻撃を実行した(参照)。
約1億7,000万USDCが、DUSD/USDCプールの価格参照に使われているMachineShareOracleの操作に充てられた。
残りの1億1,000万USDCは、およそ500万ドル規模のプールに対して取引され、ほぼ完全に流出させた。
セキュリティ研究者n0b0dyは、トランザクションの途中でも誰でもプロトコルの価格アンカーを更新できる「updateTotalAum()」というパーミッションレスな関数が根本原因だと特定した。
このオラクルにはタイムディレイや出来高加重平均価格(VWAP)、アクセス制御がなく、攻撃者は単一トランザクション内で操作したプール残高を会計システムに反映させることができた。
TenArmorのセキュリティシステムはこの攻撃を検知し、約420万ドルの損失を確認した。
関連記事: [Ethereum Staking Hits 30% All-Time High As $115B Gets Locked Away(https://yellow.com/news/ethereum-staking-hits-30-all-time-high-as-dollar115b-gets-locked-away)
なぜ重要か:オラクル設計の欠陥
この攻撃は、適切な保護機構のないスポット価格オラクルに依存するDeFiプロトコルにおける、継続的な脆弱性を浮き彫りにした。
シェア価格が現在のプール残高から即座に更新できる場合、フラッシュローンによって一時的に生じた不均衡が、価格計算上の「真実」として悪用可能になる。
そのオラクルに連動してDUSDを取引していたあらゆるプールは、事実上、攻撃者への支払いメカニズムと化していた。
次に読む: ASTER Hits All-Time Low At $0.61 Despite Strategic Buyback Activation