Makina Finance, zdecentralizowany protokół finansowy na Ethereum, stracił około 4,2 mln USD po tym, jak atakujący wykorzystał podatny mechanizm orakla w puli stableswap DUSD/USDC, a firma zajmująca się bezpieczeństwem blockchain CertiK prześledziła większość skradzionych środków do adresu budowniczego MEV.
Co się stało: Wyczerpanie puli stableswap
Atakujący użył pożyczki błyskawicznej w wysokości 280 mln USDC do przeprowadzenia ataku, according to CertiK's analysis.
Około 170 mln USDC posłużyło do manipulacji MachineShareOracle, na którym pula DUSD/USDC polega przy wycenie.
Pozostałe 110 mln USDC zostało następnie wymienione przeciwko puli o wartości około 5 mln USD, niemal całkowicie ją opróżniając.
Badacz bezpieczeństwa n0b0dy identified główną przyczynę jako funkcję bez zezwoleń o nazwie „updateTotalAum()”, która pozwala każdemu odświeżyć kotwicę cenową protokołu w trakcie transakcji.
Orakl nie posiadał opóźnień czasowych, wolumenowo ważonej średniej ceny ani kontroli dostępu — co umożliwiło atakującemu zapisanie zmanipulowanych sald puli w systemie księgowym w obrębie jednej transakcji.
Systemy bezpieczeństwa TenArmor detected atak i potwierdziły straty na około 4,2 mln USD.
Also Read: [Ethereum Staking Hits 30% All-Time High As $115B Gets Locked Away(https://yellow.com/news/ethereum-staking-hits-30-all-time-high-as-dollar115b-gets-locked-away)
Dlaczego to istotne: Błędy w projektowaniu orakli
Ten exploit podkreśla utrzymującą się podatność protokołów DeFi, które polegają na oraklach z ceną spot bez odpowiednich zabezpieczeń.
Gdy ceny udziałów mogą być aktualizowane natychmiast na podstawie bieżących sald puli, tymczasowe zaburzenia stworzone przez pożyczki błyskawiczne stają się wykorzystywaną „prawdą” na potrzeby wyceny.
Każda pula handlująca DUSD w oparciu o ten orakl stawała się de facto mechanizmem wypłat dla atakującego.
Read Next: ASTER Hits All-Time Low At $0.61 Despite Strategic Buyback Activation