Makina Finance, протокол децентрализованных финансов на Ethereum, потерял примерно $4,2 млн после того, как злоумышленник воспользовался уязвимым механизмом оракула в его стейблсвоп‑пуле DUSD/USDC. Блокчейн‑аудитор CertiK отследил большинство похищенных средств до адреса MEV‑билдера.
Что произошло: стейблсвоп‑пул опустошён
По данным анализа CertiK, злоумышленник использовал флеш‑кредит в 280 млн USDC для проведения атаки, according к CertiK's analysis.
Около 170 млн USDC было направлено на манипулирование MachineShareOracle, от которого пул DUSD/USDC зависит в вопросах ценообразования.
Оставшиеся 110 млн USDC затем были обменены против пула примерно на $5 млн, почти полностью его осушив.
Исследователь безопасности n0b0dy identified корневую причину в функции без разрешений «updateTotalAum()», которая позволяет любому обновить ценовой якорь протокола в середине транзакции.
В оракуле отсутствовали задержки по времени, ценовое усреднение по объёму и контроль доступа — это позволило злоумышленнику «запечь» манипулируемые балансы пула в систему учёта в рамках одной транзакции.
Системы безопасности TenArmor detected атаку и подтвердили убытки примерно на $4,2 млн.
Также читайте: [Ethereum Staking Hits 30% All-Time High As $115B Gets Locked Away(https://yellow.com/news/ethereum-staking-hits-30-all-time-high-as-dollar115b-gets-locked-away)
Почему это важно: изъяны в дизайне оракулов
Эксплойт подчёркивает устойчивую уязвимость DeFi‑протоколов, которые зависят от оракулов со спотовыми ценами без надлежащих защитных механизмов.
Если цены долей можно мгновенно обновлять на основе текущих балансов пула, временные дисбалансы, создаваемые флеш‑кредитами, становятся эксплуатируемой «истиной» для расчётов цен.
Любой пул, торгующий DUSD против такого оракула, фактически превращается в механизм выплаты для злоумышленника.
Читайте далее: ASTER Hits All-Time Low At $0.61 Despite Strategic Buyback Activation