Makina Finance, một giao thức tài chính phi tập trung trên Ethereum, đã mất khoảng 4,2 triệu USD sau khi một kẻ tấn công khai thác cơ chế oracle dễ bị tổn thương trong pool stableswap DUSD/USDC, với công ty bảo mật blockchain CertiK truy vết phần lớn số tiền bị đánh cắp đến một địa chỉ MEV builder.
Chuyện gì đã xảy ra: Pool stableswap bị rút cạn
Kẻ tấn công đã sử dụng flash loan 280 triệu USDC để thực hiện cuộc tấn công, theo phân tích của CertiK.
Khoảng 170 triệu USDC được dùng để thao túng MachineShareOracle mà pool DUSD/USDC dựa vào để định giá.
110 triệu USDC còn lại sau đó được giao dịch với pool khoảng 5 triệu USD, gần như rút cạn hoàn toàn.
Nhà nghiên cứu bảo mật n0b0dy đã xác định nguyên nhân gốc rễ là một hàm permissionless có tên "updateTotalAum()" cho phép bất kỳ ai làm mới giá neo của giao thức ngay giữa giao dịch.
Oracle này thiếu độ trễ thời gian, cơ chế định giá trung bình theo khối lượng (VWAP) và kiểm soát truy cập — cho phép kẻ tấn công “đóng gói” số dư pool đã bị thao túng vào hệ thống kế toán chỉ trong một giao dịch.
Hệ thống bảo mật TenArmor đã phát hiện vụ tấn công và xác nhận thiệt hại khoảng 4,2 triệu USD.
Cũng nên đọc: [Ethereum Staking Hits 30% All-Time High As $115B Gets Locked Away(https://yellow.com/news/ethereum-staking-hits-30-all-time-high-as-dollar115b-gets-locked-away)
Tại sao quan trọng: Lỗ hổng trong thiết kế oracle
Vụ khai thác cho thấy một điểm yếu dai dẳng trong các giao thức DeFi phụ thuộc vào oracle định giá theo spot mà không có biện pháp bảo vệ phù hợp.
Khi giá share có thể được cập nhật tức thì từ số dư pool hiện tại, các mất cân bằng tạm thời do flash loan tạo ra có thể trở thành “sự thật” để tính toán giá.
Bất kỳ pool nào giao dịch DUSD dựa trên oracle đó đều thực chất trở thành cơ chế chi trả cho kẻ tấn công.
Đọc tiếp: ASTER Hits All-Time Low At $0.61 Despite Strategic Buyback Activation