Makina Finance, децентралізований фінансовий протокол на Ethereum, втратив приблизно $4,2 млн після того, як зловмисник експлуатував вразливий механізм оракула в його стейблсвоп‑пулі DUSD/USDC, а блокчейн‑аудитор CertiK відстежив більшість викрадених коштів до адреси MEV‑білдера.
Що сталося: вичищений стейблсвоп‑пул
Зловмисник використав флеш‑кредит на 280 млн USDC для здійснення експлойту, according to CertiK's analysis.
Близько 170 млн USDC було спрямовано на маніпуляцію MachineShareOracle, від якого пул DUSD/USDC залежить для ціноутворення.
The remaining 110 million USDC was then traded against the roughly $5 million pool, draining it almost entirely.
Дослідник безпеки n0b0dy identified першопричину як permissionless‑функцію під назвою «updateTotalAum()», що дозволяє будь‑кому оновлювати ціновий якір протоколу посеред транзакції.
В оракула не було часових затримок, об’ємно‑зваженого середнього ціноутворення та контролю доступу — це дало зловмиснику змогу «запекти» маніпульовані баланси пулу в облікову систему в межах однієї транзакції.
Системи безпеки TenArmor detected атаку та підтвердили приблизно $4,2 млн збитків.
Also Read: [Ethereum Staking Hits 30% All-Time High As $115B Gets Locked Away(https://yellow.com/news/ethereum-staking-hits-30-all-time-high-as-dollar115b-gets-locked-away)
Чому це важливо: недоліки дизайну оракулів
Експлойт підкреслює стійку вразливість DeFi‑протоколів, які покладаються на оракули з цінами спот без належних запобіжників.
Коли ціни часток можна миттєво оновлювати з поточних балансів пулу, тимчасові дисбаланси, створені флеш‑кредитами, стають експлуатованою «правдою» для цінових розрахунків.
Будь‑який пул, що торгує DUSD проти цього оракула, фактично перетворився на механізм виплат для зловмисника.
Read Next: ASTER Hits All-Time Low At $0.61 Despite Strategic Buyback Activation