Makina Finance, децентралізований фінансовий протокол на Ethereum, втратив близько $4,2 млн після того, як зловмисник використав вразливий механізм оракула в стейблсвоп‑пулі DUSD/USDC, при цьому блокчейн‑аналітична компанія з безпеки CertiK відстежила більшість викрадених коштів до адреси MEV‑білдера.
Що сталося: стейблсвоп‑пул спустошено
Зловмисник використав флеш‑кредит у 280 мільйонів USDC для здійснення експлойта, згідно з аналізом CertiK.
Близько 170 мільйонів USDC було використано для маніпуляції MachineShareOracle, на який пул DUSD/USDC покладається для визначення цін.
Решта 110 мільйонів USDC була потім обміняна проти приблизно $5‑мільйонного пулу, майже повністю його спустошивши.
Дослідник безпеки n0b0dy визначив першопричину як бездозвільну функцію під назвою «updateTotalAum()», що дозволяє будь‑кому оновлювати ціновий якір протоколу всередині транзакції.
Оракул не мав часових затримок, об’ємно‑зваженого середнього ціноутворення та контролю доступу — що дозволило зловмиснику «запекти» маніпульовані баланси пулу в облікову систему в межах однієї транзакції.
Системи безпеки TenArmor виявили атаку та підтвердили втрати приблизно на $4,2 млн.
Також читайте: [Ethereum Staking Hits 30% All-Time High As $115B Gets Locked Away(https://yellow.com/news/ethereum-staking-hits-30-all-time-high-as-dollar115b-gets-locked-away)
Чому це важливо: вади в дизайні оракулів
Експлойт підкреслює стійку вразливість DeFi‑протоколів, які покладаються на оракули з цінами «на споті» без належних запобіжників.
Коли ціну часток можна миттєво оновити на основі поточних балансів пулу, тимчасові дисбаланси, створені флеш‑кредитами, стають експлойтабельною «правдою» для цінових розрахунків.
Будь‑який пул, що торгував DUSD проти цього оракула, фактично перетворювався на механізм виплат для зловмисника.
Читайте далі: ASTER Hits All-Time Low At $0.61 Despite Strategic Buyback Activation