Ethereum – platforma DeFi Makina Finance – 20 stycznia utraciła 1 299 ETH o wartości około 4,1 mln dolarów po tym, jak hakerzy zmanipulowali wyrocznie cenowe w puli płynności DUSD-USDC hostowanej na Curve Finance.
Budowniczy MEV frontran atak i przechwycił większość skradzionych środków, co komplikuje działania odzyskiwania funduszy dla protokołu zarządzania zyskami uruchomionego w lutym 2025 r.
Firma zajmująca się bezpieczeństwem blockchain PeckShield jako pierwsza wykryła exploit o 03:40:35 UTC; atakujący skonwertował skradzione tokeny na ETH na dwóch portfelach, które obecnie hold te aktywa.
Co się stało
Atakujący zaciągnął flash loan w wysokości 280 mln USDC, z czego 170 mln wykorzystał do manipulacji MachineShareOracle, który określa ceny dla puli stablecoinów Dialectic USD i Dialectic USDC.
Po sztucznym zawyżeniu cen w puli, atakujący wymienił 110 mln USDC przeciwko zmanipulowanej puli, aby wyciągnąć 1 299 ETH, a następnie spłacił flash loan.
PeckShield potwierdził, że atak wykorzystał podatność na manipulację ceną; sprawca dodał płynność tuż przed zawyżeniem cen i wycofał ją wraz z zyskiem.
Jednak adres budowniczego MEV zaczynający się od 0xa6c2 frontran transakcję, która opróżniła pulę, przechwytując około 4,14 mln dolarów ze skradzionych środków.
Przeczytaj także: Japan Bond Yields Hit Multi-Decade Highs, Threatening Global Crypto Liquidity
Obecny stan
Skradziony ETH znajduje się obecnie na dwóch adresach sieci Ethereum: portfel 0xbed2...dE25 przechowuje 3,3 mln dolarów, a portfel 0x573d...910e zawiera 880 tys. dolarów.
Makina activated tryb bezpieczeństwa na wszystkich swoich smart vaults i doradziła dostawcom płynności puli DUSD na Curve wycofanie pozostałych środków.
Platforma potwierdziła, że exploit dotknął wyłącznie pozycji dostawców płynności DUSD na Curve; inne aktywa i wdrożenia pozostały nienaruszone.
Firmy zajmujące się bezpieczeństwem, w tym PeckShield, ExVul i TenArmor, wezwały użytkowników do odwołania uprawnień dla smart kontraktów i unikania interakcji z kontraktami Makina do czasu zakończenia dochodzenia.
Kontekst bezpieczeństwa DeFi
Ataki z użyciem flash loan pozostają powszechne mimo poprawy zabezpieczeń; zdecentralizowana giełda Bunni straciła 8,4 mln dolarów w październiku 2025 r., a Shibarium ucierpiało w ataku o wartości 2,4 mln dolarów we wrześniu.
Dane Chainalysis pokazują jednak, że straty z tytułu hacków w DeFi pozostawały w 2025 r. ograniczone, mimo że całkowita wartość zablokowana osiągnęła 119 mld dolarów, co stanowi odejście od historycznych wzorców, w których napływy kapitału korelowały ze wzrostem liczby ataków.
Całkowita wartość skradzionych kryptowalut osiągnęła w 2025 r. 3,4 mld dolarów, ale główny cel ataków przesunął się w stronę scentralizowanych giełd i portfeli osobistych, a nie protokołów DeFi.
Przeczytaj następną wiadomość: Russian Lawmakers Propose Harsh Mining Penalties: Individuals Face $1,500 Fines, Companies $100K+