Makina kannatab 4,13 miljoni dollari suuruse rünnaku all DUSD/USDC kõverapuhkuses./

Makina, detsentraliseeritud finantsprotokoll automaatse teostusega, kannatas teisipäeva varahommikul põhjendamatust rünnakust, mis tühjendas selle DUSD/USDC likviidsuspiirkonda Curve platvormil, teatas plokiahelaturvalisuse firma PeckShield. 

Makina Finance on aruannete kohaselt kaotanud häkkeritele umbes 1299 Etherit oma Curve stabiilsete mündide piirkonnast. Selle väärtus oli sel hetkel umbes 4,13 miljonit dollarit. Peckshieldi analüüsi kohaselt tungisid ründajad protokolli mittekustoodavate likviidsuspakkujate DUSD/USDC CurveStable piirkonda, mis kasutab plokiahelas hinnatõendite oraklit. 

Oraklid varustavad nutikontorid välist informatsiooniga, näiteks varade hindadega, mida häkkerid kasutasid keset tehingut ja võtsid mündid välja kunstlikult soodsama kursiga.

Makina häkker kasutas kiirlaene, et ära võtta 5 miljonit dollarit

CertiK turvainseneri andmetel alustas ründaja 280 miljoni USDC laenamisega ilma eelneva tagatiseta, tingimusel, et raha makstakse tagasi samas tehingus.

Laenatud summa seest kasutati umbes 170 miljonit USDC MachineShareOracle'i segamiseks, mis vastutab aktsiate hindade edastamise eest piirkonda. Pärast flash-laenuga laenatud kapitali sisestamist suutsid nad ajutiselt moonutada orakli hinnaandmeid ja veenda seda uskuma ebatäpseid hindu.

Kui orakl hakkas edastama üleväärseid väärtusi, vahetas ründaja umbes 110 miljonit USDC vastu piirkonda, kus oli vaid umbes 5 miljonit dollarit likviidsuses. Kuna piirkond uskus, et varad on rohkem väärt kui tegelikult, maksis see palju enam kui oleks pidanud ja tühjendas end.

“Aktsia hinna oraklit suruti keset tehingut, laskes Curve piirkonnal maksta üleväärse hinnaga. ~5,1 miljonit USDC lahkus DUSD/USDC piirkonnast, ründaja teenis umbes 4,1 miljonit,” ütles turvainsener.

Makina Finance käivitati eelmise aasta veebruaris, reklaamides ennast institutsionaalse taseme DeFi teostusmootorina. DeFiLlama andmetel on protokollil kokku umbes 100,49 miljonit dollarit lukustatud väärtuses. 

MEV ehitaja vähendas Makina rünnaku numbreid 800 000 dollariga

Häkker võttis DUSD tulud ja vahetas need etheriks, tehes mitmeid tehinguid varade konsolideerimiseks ja uuesti paigutamiseks. Kuid CertiK andmetel oli rünnaku tehing osaliselt eelnevalt täidetud MEV ehitaja poolt. 

Maksimaalne võimalik saadav väärtus on kasum, mida bloki ehitajad ja valideerijad saavad maksimeerida tehingute ümberkorraldamise, sisestamise ja tsenseerimise abil enne nende plokiahelas töötlemist. Sel juhul sai MEV-üksus, mille aadressi prefiksiks on 0xa6c2, suurema osa väärtusest, kui rünnak toimus. 

CertiK hinnangul haaras MEV ehitaja umbes 4,14 miljonit dollarit 5 miljonist, mida ta stabiilsete müntide piirkonnast välja võttis.

MEV marsruutimine jagas ülejäänud etheri kahe aadressi vahel: esimene (0xbed) omades 3,3 miljonit dollarit ETH-d ja teine (0x573d) umbes 276 ETH-d.

Teisipäeval kell 6:42 UTC kirjutas Makina Finance avaliku teadaande X-s, tunnistades häkkimist, kuid rõhutas, et probleem ei puudutanud kogu protokolli infrastruktuuri.

Makina palus ka DUSD Curve piirkonna likviidsuspakkujatel likviidsus eemaldada, kuna otsustatakse “kõige sobilikumad järgmised sammud kahjustatud kasutajate ja LP-de jaoks”. Meeskond lubas ka kogukonnale anda lisauuendusi niipea, kui juhtumi läbivaatamine on lõppenud.

DeFi protokolli kiirlaenurünnak tõstab õnnetu aasta, mida krüptokasutajad lootsid mööda saada, peale õudset 2025. aastat, kus turult varastati üle 3 miljardi dollari. 

Cyversi Web3 turvalisuse ja pettuste aruandes dokumenteeriti eelmisel aastal 108 pettuse ja turvalisusega seotud juhtumit ning umbes 16 miljardit dollarit krüptovarade pettusega vähemalt 140 börsilt ja kauplemisplatvormilt.

Cyvers teatas ka enam kui 4,2 miljonist pettusega tehingust 780 000 aadressilt ja ligi 19 000 aktiivsest pettusest võrgustikust, mis hõlmavad varasid nagu USDT, ETH ja USDC.

Kui sa seda luged, oled juba edukas. Jää sinna meie uudiskirjaga.