Ethereum DeFi 平台 Makina Finance 於 1 月 20 日遭遇攻擊,駭客操縱託管於 Curve Finance 的 DUSD-USDC 流動性資金池價格預言機,盜走 1,299 枚 ETH,價值約 410 萬美元。
一個 MEV builder 在這次攻擊中進行 frontrun,並奪得大部分被盜資金,使這個於 2025 年 2 月推出的收益管理協議在追討資金上更加困難。
區塊鏈安全公司 PeckShield 於世界標準時間 03:40:35 首先偵測到這次攻擊,攻擊者將所竊取的代幣兌換成 ETH,分散到兩個目前持有資產的錢包中。
事件經過
攻擊者借入 2.8 億枚 USDC 閃電貸,其中 1.7 億用於操縱 MachineShareOracle,該預言機負責決定 Dialectic USD 與 Dialectic USDC 穩定幣資金池的價格。
在人為推高資金池價格後,攻擊者以 1.1 億枚 USDC 與被操縱的資金池進行交易,從中抽乾 1,299 枚 ETH,隨後償還閃電貸。
PeckShield 證實,這次攻擊是利用價格操縱漏洞,攻擊者先在拉高價格前立即加入流動性,之後再連本帶利提走資金。
然而,一個以 0xa6c2 開頭的 MEV builder 地址對抽乾資金池的交易進行 frontrun,最終奪得約 414 萬美元的被盜資金。
延伸閱讀: Japan Bond Yields Hit Multi-Decade Highs, Threatening Global Crypto Liquidity
目前狀況
被盜 ETH 目前存放在兩個以太坊地址中:錢包 0xbed2...dE25 持有約 330 萬美元,錢包 0x573d...910e 持有約 88 萬美元。
Makina 已在其所有智慧保管庫啟用安全模式,並建議 DUSD Curve 資金池的流動性提供者提取剩餘資金。
平台確認,本次攻擊僅影響 Curve 上 DUSD 的流動性提供者倉位,其他資產與部署並未受及。
包括 PeckShield、ExVul 與 TenArmor 在內的安全公司呼籲用戶撤銷對 Makina 合約的智慧合約授權,並在調查完成前避免與相關合約互動。
DeFi 安全背景
儘管安全性已有所提升,閃電貸攻擊在 DeFi 領域依然常見;去中心化交易平台 Bunni 在 2025 年 10 月損失 840 萬美元,Shibarium 則在 9 月遭遇 240 萬美元攻擊。
不過,Chainalysis 數據顯示,2025 年 DeFi 駭客攻擊損失仍維持在相對低檔,即使鎖倉總價值(TVL)已達 1190 億美元,與以往資本大量流入便伴隨攻擊激增的歷史模式有所不同。
2025 年整體加密貨幣竊盜總額達 34 億美元,但攻擊重心已從 DeFi 協議轉向中心化交易所及個人錢包。
下一步閱讀: Russian Lawmakers Propose Harsh Mining Penalties: Individuals Face $1,500 Fines, Companies $100K+