Ethereum DeFi platformu Makina Finance, 20 Ocak’ta hackerların DUSD-USDC likidite havuzundaki fiyat oracle’larını manipüle etmesinin ardından, yaklaşık 4,1 milyon dolar değerinde 1.299 ETH kaybetti. Söz konusu havuz Curve Finance üzerinde barındırılıyordu.
Bir MEV builder, saldırıyı frontran ederek çalınan fonların çoğunu ele geçirdi ve bu durum Şubat 2025’te başlatılan getiri yönetimi protokolü için kurtarma çalışmalarını zorlaştırdı.
Blokzincir güvenlik şirketi PeckShield, istismarı ilk olarak 03:40:35 UTC’de tespit etti; saldırgan çaldığı token’ları iki cüzdanda tutulan ETH’ye dönüştürdü ve bu cüzdanlar şu anda varlıkları tutuyor.
Ne Oldu?
Saldırgan 280 milyon USDC tutarında ani kredi (flash loan) aldı ve bunun 170 milyonunu, Dialectic USD ve Dialectic USDC stabil kripto havuzunun fiyatlarını belirleyen MachineShareOracle’ı manipüle etmek için kullandı.
Havuz fiyatlarını yapay olarak şişirdikten sonra, saldırgan 110 milyon USDC’yi manipüle edilmiş havuza karşı takas ederek, ani krediyi geri ödemeden önce 1.299 ETH’yi boşalttı.
PeckShield, saldırının bir fiyat manipülasyonu açığından faydalandığını doğruladı; saldırgan, fiyatları şişirmeden hemen önce likidite ekledi ve ardından kârla birlikte geri çekildi.
Ancak, 0xa6c2 ile başlayan bir MEV builder adresi, havuzu boşaltan işlemi frontran ederek çalınan fonların yaklaşık 4,14 milyon dolarlık kısmını ele geçirdi.
Bunu da okuyun: Japan Bond Yields Hit Multi-Decade Highs, Threatening Global Crypto Liquidity
Mevcut Durum
Çalınan ETH şu anda iki Ethereum adresinde tutuluyor: 0xbed2...dE25 cüzdanında 3,3 milyon dolar ve 0x573d...910e cüzdanında 880.000 dolar bulunuyor.
Makina, tüm akıllı kasalarında güvenlik modunu aktive etti ve DUSD Curve havuzu likidite sağlayıcılarına kalan fonlarını çekmeleri tavsiyesinde bulundu.
Platform, istismarın yalnızca Curve üzerindeki DUSD likidite sağlayıcı pozisyonlarını etkilediğini, diğer varlıklar ve konuşlandırmaların etkilenmediğini doğruladı.
PeckShield, ExVul ve TenArmor dahil olmak üzere güvenlik firmaları, kullanıcıları akıllı sözleşme izinlerini iptal etmeye ve soruşturma sonuçlanana kadar Makina sözleşmeleriyle etkileşimden kaçınmaya çağırdı.
DeFi Güvenlik Bağlamı
Gelişmiş güvenliğe rağmen ani kredi istismarları yaygın olmaya devam ediyor; merkeziyetsiz borsa Bunni Ekim 2025’te 8,4 milyon dolar, Shibarium ise Eylül ayında 2,4 milyon dolarlık saldırıya maruz kaldı.
Bununla birlikte, Chainalysis verileri, toplam kilitli değer 119 milyar dolara ulaşmasına rağmen, 2025 boyunca DeFi hack kayıplarının baskılanmış kaldığını gösteriyor. Bu durum, sermaye girişlerinin genellikle saldırılardaki artışla korele olduğu geçmiş kalıplardan bir kopuş anlamına geliyor.
2025’te toplam kripto para hırsızlığı 3,4 milyar dolara ulaştı, ancak saldırı odağı DeFi protokollerinden ziyade merkezi borsalar ve kişisel cüzdanlara kaydı.
Sıradaki haber: Russian Lawmakers Propose Harsh Mining Penalties: Individuals Face $1,500 Fines, Companies $100K+