Makina Finance, um protocolo de finanças descentralizadas na Ethereum, perdeu aproximadamente US$ 4,2 milhões depois que um atacante explorou um mecanismo de oráculo vulnerável em seu pool de stableswap DUSD/USDC, com a empresa de segurança em blockchain CertiK rastreando a maior parte dos fundos roubados para um endereço de construtor MEV.
O que aconteceu: Pool de stableswap drenado
O atacante usou um flash loan de 280 milhões de USDC para executar o exploit, de acordo com a análise da CertiK.
Cerca de 170 milhões de USDC foram usados para manipular o MachineShareOracle do qual o pool DUSD/USDC depende para definição de preços.
Os 110 milhões de USDC restantes foram então negociados contra o pool de aproximadamente US$ 5 milhões, drenando-o quase totalmente.
O pesquisador de segurança n0b0dy identificou a causa raiz como uma função permissionless chamada "updateTotalAum()" que permite que qualquer pessoa atualize a âncora de preço do protocolo no meio de uma transação.
O oráculo não tinha atrasos de tempo, precificação por média ponderada por volume nem controles de acesso — permitindo que o atacante incorporasse saldos manipulados do pool no sistema de contabilidade dentro de uma única transação.
Os sistemas de segurança TenArmor detectaram o ataque e confirmaram aproximadamente US$ 4,2 milhões em perdas.
Veja também: Ethereum Staking Hits 30% All-Time High As $115B Gets Locked Away
Por que isso importa: falhas de design em oráculos
O exploit destaca uma vulnerabilidade persistente em protocolos DeFi que dependem de oráculos com preços à vista sem proteções adequadas.
Quando os preços das cotas podem ser atualizados instantaneamente a partir dos saldos atuais do pool, desequilíbrios temporários criados por flash loans se tornam uma “verdade” explorável para cálculos de preço.
Qualquer pool que negociasse DUSD contra esse oráculo efetivamente se tornou um mecanismo de pagamento para o atacante.
Leia a seguir: ASTER Hits All-Time Low At $0.61 Despite Strategic Buyback Activation