Ethereum DeFi 平台 Makina Finance 在 1 月 20 日遭遇攻擊,駭客透過操縱其託管於 Curve Finance 的 DUSD-USDC 流動性池價格預言機,竊取了 1,299 枚 ETH,價值約 410 萬美元。
一個 MEV builder 在攻擊交易之前插隊執行(frontran)相關交易,攔截了大部分遭竊資金,讓這個在 2025 年 2 月上線的收益管理協議更難以追回損失。
區塊鏈安全公司 PeckShield 於世界標準時間 03:40:35 首先偵測到這起攻擊,攻擊者隨後將所竊代幣分別轉入兩個錢包地址並換成 ETH,相關資產目前仍停留在這些地址。
事件經過
攻擊者先借入 2.8 億枚 USDC 閃電貸,其中 1.7 億枚被用來操縱 MachineShareOracle。該預言機負責為 Dialectic USD 與 Dialectic USDC 穩定幣池定價。
在人為抬高池中價格後,攻擊者再以 1.1 億枚 USDC 與被操縱的池子進行交易,成功抽乾 1,299 枚 ETH,隨後償還閃電貸。
PeckShield 證實,這次攻擊利用了價格操縱漏洞;攻擊者先在拉高價格前短暫加入流動性,隨後於價格被拉高時退出流動性並獲利離場。
然而,一個以 0xa6c2 開頭的 MEV builder 地址搶先執行了抽乾資金的關鍵交易,攔截了約 414 萬美元的遭竊資金。
延伸閱讀: Japan Bond Yields Hit Multi-Decade Highs, Threatening Global Crypto Liquidity
目前狀況
遭竊 ETH 目前分散在兩個以太坊地址中:錢包 0xbed2...dE25 約持有 330 萬美元,錢包 0x573d...910e 約持有 88 萬美元。
Makina 已在所有智慧保管庫上啟動安全模式,並建議 DUSD Curve 池的流動性提供者盡快提領剩餘資金。
平台證實,本次漏洞僅影響 Curve 上的 DUSD 流動性提供者頭寸,其他資產與部署暫未受及。
包含 PeckShield、ExVul 與 TenArmor 在內的安全團隊,呼籲用戶撤銷對 Makina 智慧合約的授權,並在調查完成前避免與相關合約互動。
DeFi 安全背景
儘管整體安全性有所提升,閃電貸攻擊在 DeFi 中仍相當常見。去中心化交易所 Bunni 在 2025 年 10 月遭遇攻擊,損失達 840 萬美元,Shibarium 也在 9 月遭到約 240 萬美元攻擊。
不過,根據 Chainalysis 的數據,儘管 2025 年 DeFi 鎖倉總額(TVL)攀升至 1190 億美元,DeFi 相關駭客攻擊損失仍維持在相對低檔,這與過去「資本湧入往往伴隨攻擊激增」的歷史模式有所不同。
2025 年整體加密貨幣竊盜總額達 34 億美元,但攻擊重心已逐漸從 DeFi 協議轉向中心化交易所與個人錢包。
下一篇閱讀: Russian Lawmakers Propose Harsh Mining Penalties: Individuals Face $1,500 Fines, Companies $100K+