Makina Finance 是部署在 Ethereum 上的去中心化金融协议, 在其 DUSD/USDC 稳定币兑换池中, 因预言机机制存在漏洞遭到攻击,大约损失 420 万美元。区块链安全公司 CertiK 将大部分被盗资金追踪至一个 MEV builder 地址。
事件概要:稳定币资金池被抽干
根据 CertiK 的分析,攻击者使用了 2.8 亿枚 USDC 闪电贷来执行此次攻击,according to CertiK's analysis.
其中约 1.7 亿枚 USDC 被用来操纵 DUSD/USDC 资金池所依赖的 MachineShareOracle 的定价。
The remaining 110 million USDC was then traded against the roughly $5 million pool, draining it almost entirely.
安全研究员 n0b0dy identified 此次事件的根本原因: 一个名为 “updateTotalAum()” 的无权限函数,允许任何人在单笔交易过程中刷新协议的价格锚定。
该预言机缺乏时间延迟、成交量加权平均价格以及访问控制—— 这使得攻击者可以在单笔交易内将被操纵后的资金池余额写入系统账本。
TenArmor 安全系统 detected 到此次攻击, 并确认损失金额约为 420 万美元。
Also Read: [Ethereum Staking Hits 30% All-Time High As $115B Gets Locked Away(https://yellow.com/news/ethereum-staking-hits-30-all-time-high-as-dollar115b-gets-locked-away)
影响何在:预言机设计缺陷
此次攻击凸显了 DeFi 协议中的一类长期存在的脆弱点: 过度依赖现货价格预言机、却缺乏足够安全防护。
当份额价格可以根据当前资金池余额被即时刷新时, 闪电贷制造的短暂失衡就会被预言机当作真实价格写入计算逻辑并加以利用。
任何与该预言机挂钩、交易 DUSD 的资金池,都在此次攻击中等同于向攻击者支付“奖金”。
Read Next: ASTER Hits All-Time Low At $0.61 Despite Strategic Buyback Activation