Ethereum DeFi‑platform Makina Finance verloor op 20 januari 1.299 ETH ter waarde van ongeveer $4,1 miljoen nadat hackers prijsorakels manipuleerden op de DUSD-USDC-liquiditeitspool die wordt gehost op Curve Finance.
Een MEV‑builder frontran de aanval en wist het grootste deel van de gestolen fondsen te bemachtigen, wat de terugvorderingspogingen bemoeilijkt voor het yield‑managementprotocol dat in februari 2025 werd gelanceerd.
Blockchainbeveiligingsbedrijf PeckShield ontdekte de exploit als eerste om 03:40:35 UTC. De aanvaller zette de gestolen tokens om in ETH via twee wallets die momenteel hold over de assets beschikken.
Wat er is gebeurd
De aanvaller nam een flash‑loan van 280 miljoen USDC, waarvan 170 miljoen werd gebruikt om de MachineShareOracle te manipuleren die de prijzen bepaalt voor de Dialectic USD- en Dialectic USDC‑stablecoinpool.
Na het kunstmatig opdrijven van de poolprijzen verhandelde de aanvaller 110 miljoen USDC tegen de gemanipuleerde pool en wist zo 1.299 ETH leeg te trekken voordat de flash‑loan werd terugbetaald.
PeckShield bevestigde dat de aanval misbruik maakte van een kwetsbaarheid voor prijsgemanipulatie, waarbij de dader liquiditeit toevoegde vlak vóór het opdrijven van de prijzen en deze vervolgens met winst weer introk.
Een MEV‑builder‑adres dat begint met 0xa6c2 frontran echter de transactie die de pool leeg trok en wist ongeveer $4,14 miljoen van de gestolen fondsen buit te maken.
Read also: Japan Bond Yields Hit Multi-Decade Highs, Threatening Global Crypto Liquidity
Huidige status
De gestolen ETH staat momenteel op twee Ethereum‑adressen: wallet 0xbed2...dE25 met $3,3 miljoen en wallet 0x573d...910e met $880.000.
Makina heeft de activated beveiligingsmodus op al zijn smart vaults geactiveerd en adviseerde DUSD‑Curve‑pool‑liquiditeitsverschaffers om de resterende fondsen terug te trekken.
Het platform bevestigde dat de exploit alleen DUSD‑liquiditeitsverschafferposities op Curve trof, terwijl andere assets en deployments onaangetast bleven.
Beveiligingsfirma’s waaronder PeckShield, ExVul en TenArmor riepen gebruikers op om smart‑contractmachtigingen in te trekken en interactie met Makina‑contracten te vermijden zolang het onderzoek loopt.
DeFi‑beveiligingscontext
Flash‑loan‑exploits blijven veelvoorkomend ondanks verbeterde beveiliging. Zo verloor de gedecentraliseerde exchange Bunni $8,4 miljoen in oktober 2025 en liep Shibarium in september een aanval van $2,4 miljoen op.
Gegevens van Chainalysis laten echter zien dat de verliezen door DeFi‑hacks in 2025 beperkt bleven, zelfs terwijl de total value locked $119 miljard bereikte. Dat wijkt af van historische patronen waarbij een toestroom van kapitaal meestal gepaard ging met meer aanvallen.
De totale cryptodiefstal bedroeg in 2025 $3,4 miljard, maar de focus van aanvallen verschoof naar gecentraliseerde exchanges en persoonlijke wallets in plaats van naar DeFi‑protocollen.
Read next: Russian Lawmakers Propose Harsh Mining Penalties: Individuals Face $1,500 Fines, Companies $100K+