Makina Finance 是部署在 Ethereum 上的去中心化金融協議,近日遭攻擊者利用其 DUSD/USDC 穩定幣兌換資金池中的脆弱預言機機制,導致約 420 萬美元損失,區塊鏈安全公司 CertiK 指出,大部分被盜資金最終流向一個 MEV builder 地址。
事件經過:穩定幣兌換池被掏空
根據 CertiK 的分析,攻擊者先申請了一筆 2.8 億枚 USDC 的閃電貸來執行此次攻擊,according to CertiK's analysis.
其中約 1.7 億枚 USDC 被用來操縱 DUSD/USDC 資金池所依賴的 MachineShareOracle 報價。
The remaining 110 million USDC was then traded against the roughly $5 million pool, draining it almost entirely.
安全研究員 n0b0dy identified 問題根源是一個名為「updateTotalAum()」的無許可函式,任何人都可以在單筆交易中途刷新協議的價格錨定。
該預言機缺乏時間延遲機制、成交量加權平均價格與存取控制等保護措施,使攻擊者得以在單筆交易內,將被操縱後的資金池餘額寫入協議帳務系統。
TenArmor 安全系統 detected 此次攻擊,並確認約 420 萬美元損失。
Also Read: [Ethereum Staking Hits 30% All-Time High As $115B Gets Locked Away(https://yellow.com/news/ethereum-staking-hits-30-all-time-high-as-dollar115b-gets-locked-away)
影響與意義:預言機設計缺陷
這起事件凸顯出 DeFi 協議在預言機設計上的長期脆弱點:若僅依賴即時現貨價格、卻沒有適當的防護措施,便容易遭到濫用。
當資產份額價格可以直接從當前資金池餘額即時更新時,由閃電貸短暫製造的池內失衡,便會成為計價邏輯中的「可被利用的事實」。
任何與該預言機掛鉤、用 DUSD 進行交易的資金池,實際上都形同成為攻擊者的提款機制。
Read Next: ASTER Hits All-Time Low At $0.61 Despite Strategic Buyback Activation