Ethereum DeFi‑платформа Makina Finance потеряла 1 299 ETH примерно на $4,1 млн 20 января после того, как хакеры манипулировали ценовыми оракулами в пуле ликвидности DUSD-USDC, размещённом на Curve Finance.
MEV‑билдер frontran атаку и захватил большинство украденных средств, что осложняет усилия по их возврату для протокола управления доходностью, запущенного в феврале 2025 года.
Блокчейн‑аудитор PeckShield первым обнаружил эксплойт в 03:40:35 UTC; атакующий конвертировал похищенные токены в ETH через два кошелька, которые в настоящее время hold активы.
Что произошло
Злоумышленник взял флеш‑кредит на 280 млн USDC, использовав 170 млн для манипуляции MachineShareOracle, который определяет цены для пула стейблкоинов Dialectic USD и Dialectic USDC.
После искусственного завышения цен в пуле атакующий обменял 110 млн USDC против манипулируемого пула, выкачав 1 299 ETH до погашения флеш‑кредита.
PeckShield подтвердила, что в атаке была использована уязвимость, связанная с манипуляцией ценой: злоумышленник добавил ликвидность непосредственно перед раздуванием цен и вывел её с прибылью.
Однако адрес MEV‑билдера, начинающийся с 0xa6c2, frontran транзакцию, которая осушила пул, захватив примерно $4,14 млн украденных средств.
Читайте также: Japan Bond Yields Hit Multi-Decade Highs, Threatening Global Crypto Liquidity
Текущая ситуация
Похищенный ETH сейчас находится на двух адресах в сети Ethereum: кошелёк 0xbed2...dE25 содержит $3,3 млн, а кошелёк 0x573d...910e — $880 000.
Makina activated режим безопасности для всех своих смарт‑хранилищ и рекомендовала провайдерам ликвидности DUSD‑пула на Curve вывести оставшиеся средства.
Платформа подтвердила, что эксплойт затронул только позиции провайдеров ликвидности DUSD на Curve, остальные активы и деплойменты не пострадали.
Компании, занимающиеся безопасностью, включая PeckShield, ExVul и TenArmor, призвали пользователей отозвать разрешения смарт‑контрактов и воздержаться от взаимодействия с контрактами Makina до завершения расследования.
Контекст безопасности DeFi
Атаки с флеш‑кредитами остаются распространёнными, несмотря на улучшение мер безопасности: в октябре 2025 года децентрализованная биржа Bunni потеряла $8,4 млн, а Shibarium столкнулся с атакой на $2,4 млн в сентябре.
Однако данные Chainalysis показывают, что потери от взломов DeFi в 2025 году оставались сдержанными, даже несмотря на то, что общий объём заблокированных средств достиг $119 млрд, что отличается от прежних тенденций, когда приток капитала коррелировал с ростом числа атак.
Общий объём краж криптовалют в 2025 году достиг $3,4 млрд, но основной вектор атак сместился в сторону централизованных бирж и личных кошельков, а не DeFi‑протоколов.
Читайте далее: Russian Lawmakers Propose Harsh Mining Penalties: Individuals Face $1,500 Fines, Companies $100K+