Makina Finance, một giao thức tài chính phi tập trung trên Ethereum, đã mất khoảng 4,2 triệu đô sau khi một kẻ tấn công khai thác cơ chế oracle dễ tổn thương trong pool stableswap DUSD/USDC, với công ty bảo mật blockchain CertiK truy vết phần lớn số tiền bị đánh cắp tới một địa chỉ MEV builder.
Điều gì đã xảy ra: Pool stableswap bị rút cạn
Kẻ tấn công đã sử dụng một khoản flash loan 280 triệu USDC để thực hiện vụ khai thác, theo phân tích của CertiK.
Khoảng 170 triệu USDC được dùng để thao túng MachineShareOracle mà pool DUSD/USDC dựa vào để định giá.
110 triệu USDC còn lại sau đó được giao dịch với pool khoảng 5 triệu đô, gần như rút cạn hoàn toàn pool này.
Nhà nghiên cứu bảo mật n0b0dy đã xác định nguyên nhân gốc rễ là một hàm permissionless có tên "updateTotalAum()" cho phép bất kỳ ai làm mới điểm neo giá của giao thức ngay giữa giao dịch.
Oracle này thiếu độ trễ thời gian, cơ chế định giá trung bình theo khối lượng (VWAP) và kiểm soát truy cập — cho phép kẻ tấn công “đóng gói” các số dư pool đã bị thao túng vào hệ thống hạch toán chỉ trong một giao dịch.
Hệ thống bảo mật TenArmor đã phát hiện vụ tấn công và xác nhận thiệt hại khoảng 4,2 triệu đô.
Cũng nên đọc: [Ethereum Staking Hits 30% All-Time High As $115B Gets Locked Away(https://yellow.com/news/ethereum-staking-hits-30-all-time-high-as-dollar115b-gets-locked-away)
Tại sao quan trọng: Lỗi thiết kế oracle
Vụ khai thác làm nổi bật một lỗ hổng dai dẳng trong các giao thức DeFi dựa vào oracle định giá theo giá spot mà không có cơ chế bảo vệ phù hợp.
Khi giá cổ phần có thể được cập nhật tức thời từ số dư hiện tại của pool, các mất cân bằng tạm thời do flash loan tạo ra sẽ trở thành “sự thật” có thể khai thác được cho các phép tính định giá.
Bất kỳ pool nào giao dịch DUSD theo oracle đó đều trở thành cơ chế chi trả cho kẻ tấn công.
Đọc tiếp: ASTER Hits All-Time Low At $0.61 Despite Strategic Buyback Activation