Ethereum DeFi 平台 Makina Finance 于 1 月 20 日遭遇攻击,黑客通过操纵其托管在 Curve Finance 上的 DUSD-USDC 流动性池价格预言机,盗走了 1,299 枚 ETH,价值约 410 万美元。
一名 MEV builder 在本次攻击中进行抢跑(frontran),获取了大部分被盗资金,这使得 2025 年 2 月上线的该收益管理协议在资金追回方面面临更大困难。
区块链安全公司 PeckShield 于世界标准时间 03:40:35 首先发现本次攻击。攻击者将所盗代币兑换为 ETH,并分散到两个当前仍持有资产的钱包中。
事件经过
攻击者首先借入 2.8 亿枚 USDC 闪电贷,其中 1.7 亿枚被用来操纵 MachineShareOracle。该预言机负责为 Dialectic USD 与 Dialectic USDC 稳定币池定价。
在人为推高池子价格后,攻击者使用 1.1 亿枚 USDC 与被操纵的流动性池进行交易,抽走了 1,299 枚 ETH,随后归还了闪电贷。
PeckShield 证实,本次攻击利用了价格操纵漏洞:攻击者先在池中添加流动性,再拉高价格,最后连同利润一起撤出。
然而,一个以 0xa6c2 开头的 MEV builder 地址对抽干池子的关键交易进行了抢跑,截获了约 414 万美元的被盗资金。
另见: Japan Bond Yields Hit Multi-Decade Highs, Threatening Global Crypto Liquidity
当前进展
被盗 ETH 目前存放在两个以太坊地址中:钱包 0xbed2...dE25 持有约 330 万美元,钱包 0x573d...910e 持有约 88 万美元。
Makina 已在其所有智能金库上启用安全模式,并建议 DUSD Curve 池的流动性提供者提取剩余资金。
平台确认,本次攻击仅影响 Curve 上的 DUSD 流动性提供者头寸,其他资产和部署未受影响。
包括 PeckShield、ExVul 和 TenArmor 在内的安全公司呼吁用户撤销相关智能合约授权,并在调查结束前避免与 Makina 合约交互。
DeFi 安全背景
尽管安全性有所提升,闪电贷攻击仍然频繁发生。去中心化交易所 Bunni 在 2025 年 10 月损失了 840 万美元,Shibarium 在 9 月也遭遇 240 万美元攻击。
不过,Chainalysis 数据显示,2025 年 DeFi 黑客攻击造成的损失仍维持在较低水平,即便当年 DeFi 总锁仓量已达到 1190 亿美元。这与过去“资金涌入往往伴随攻击增多”的历史模式有所不同。
2025 年加密货币总体被盗金额达到 34 亿美元,但攻击重心更多转向中心化交易所和个人钱包,而非 DeFi 协议。
下篇阅读: Russian Lawmakers Propose Harsh Mining Penalties: Individuals Face $1,500 Fines, Companies $100K+