Makina Finance, протокол децентрализованных финансов на Ethereum, потерял примерно $4,2 млн после того, как атакующий использовал уязвимый механизм оракула в его стейблсвоп‑пуле DUSD/USDC, при этом блокчейн‑аналитическая фирма CertiK отследила большинство похищенных средств к адресу MEV‑билдера.
Что произошло: стейблсвоп‑пул опустошён
По данным анализа CertiK according, атакующий взял флеш‑кредит на 280 миллионов USDC для проведения эксплойта.
Около 170 миллионов USDC было направлено на манипулирование MachineShareOracle, от которого пул DUSD/USDC зависит при формировании цены.
Оставшиеся 110 миллионов USDC затем были обменены на активы пула примерно на $5 млн, почти полностью его опустошив.
Исследователь безопасности n0b0dy identified корневую причину в функции без разрешений под названием «updateTotalAum()», которая позволяет любому обновить ценовой якорь протокола посреди транзакции.
В оракуле отсутствовали временные задержки, объёмно‑взвешенное усреднение цены и контроль доступа — это позволило атакующему «записать» манипулируемые балансы пула в систему учёта в рамках одной транзакции.
Системы безопасности TenArmor detected атаку и подтвердили убытки примерно на $4,2 млн.
Также читайте: [Ethereum Staking Hits 30% All-Time High As $115B Gets Locked Away(https://yellow.com/news/ethereum-staking-hits-30-all-time-high-as-dollar115b-gets-locked-away)
Почему это важно: изъяны в дизайне оракулов
Эксплойт подчёркивает устойчивую уязвимость DeFi‑протоколов, которые полагаются на спотовые оракулы без должных защитных механизмов.
Когда цену долей можно мгновенно обновлять на основе текущих балансов пула, временные дисбалансы, создаваемые флеш‑кредитами, становятся эксплуатируемой «истиной» для ценовых расчётов.
Любой пул, торгующий DUSD против этого оракула, по сути становился механизмом выплаты для атакующего.
Читайте далее: ASTER Hits All-Time Low At $0.61 Despite Strategic Buyback Activation