Ethereum DeFi-платформа Makina Finance втратила 1 299 ETH вартістю приблизно $4,1 млн 20 січня після того, як хакери маніпулювали ціновими оракулами в пулі ліквідності DUSD-USDC, розміщеному на Curve Finance.
MEV-builder frontran атаку та перехопив більшу частину викрадених коштів, що ускладнює зусилля з відновлення для протоколу керування дохідністю, запущеного в лютому 2025 року.
Блокчейн-аудиторська компанія PeckShield першою виявила експлойт о 03:40:35 UTC; зловмисник конвертував викрадені токени в ETH на двох гаманцях, які наразі hold ці активи.
Що сталося
Зловмисник узяв миттєвий кредит на 280 млн USDC, використавши 170 млн для маніпуляції MachineShareOracle, який визначає ціни для пулу стейблкоїнів Dialectic USD та Dialectic USDC.
Після штучного завищення цін у пулі атакувальник обміняв 110 млн USDC проти маніпульованого пулу, викачавши 1 299 ETH, а потім погасив миттєвий кредит.
PeckShield підтвердила, що атака використала вразливість маніпуляції ціною: зловмисник додав ліквідність безпосередньо перед завищенням цін і вивів її з прибутком.
Втім, адреса MEV-builder, що починається з 0xa6c2, frontran транзакцію, яка спорожнила пул, перехопивши приблизно $4,14 млн викрадених коштів.
Read also: Japan Bond Yields Hit Multi-Decade Highs, Threatening Global Crypto Liquidity
Поточний стан
Викрадений ETH зараз знаходиться на двох адресах Ethereum: гаманець 0xbed2...dE25 утримує $3,3 млн, а гаманець 0x573d...910e — $880 000.
Makina activated режим безпеки на всіх своїх «розумних» сейфах (smart vaults) і порадила провайдерам ліквідності пулу DUSD на Curve вивести решту коштів.
Платформа підтвердила, що експлойт зачепив лише позиції провайдерів ліквідності DUSD на Curve; інші активи та розгортання залишилися неушкодженими.
Компанії з безпеки, включно з PeckShield, ExVul та TenArmor, закликали користувачів відкликати дозволи смартконтрактів і утриматися від взаємодії з контрактами Makina до завершення розслідування.
Контекст безпеки DeFi
Атаки з миттєвими кредитами залишаються поширеними, попри покращення безпеки: децентралізована біржа Bunni втратила $8,4 млн у жовтні 2025 року, а Shibarium зазнав атаки на $2,4 млн у вересні.
Водночас дані Chainalysis показують, що втрати від зламів DeFi протягом 2025 року залишалися стриманими, навіть коли загальна заблокована вартість досягла $119 млрд, що відрізняється від історичних шаблонів, коли приплив капіталу корелював зі збільшенням атак.
Загальний обсяг викраденої криптовалюти у 2025 році сягнув $3,4 млрд, але фокус атак змістився в бік централізованих бірж і особистих гаманців, а не DeFi-протоколів.
Read next: Russian Lawmakers Propose Harsh Mining Penalties: Individuals Face $1,500 Fines, Companies $100K+