Makina को DUSD/USDC Curve पूल में $4.13M का नुकसान

ब्लॉकचेन सुरक्षा फर्म PeckShield के अनुसार, स्वचालित निष्पादन के साथ एक विकेंद्रीकृत वित्त प्रोटोकॉल Makina को मंगलवार सुबह एक शोषण का सामना करना पड़ा जिसने Curve पर इसके DUSD/USDC लिक्विडिटी पूल को खाली कर दिया। 

कथित तौर पर Makina Finance ने हैकर्स को अपने Curve स्टेबलकॉइन पूल से लगभग 1,299 Ether खो दिए हैं। उस समय इसकी कीमत लगभग $4.13 मिलियन थी। Peckshield के विश्लेषण के अनुसार, हमलावरों ने DUSD/USDC CurveStable पूल पर प्रोटोकॉल के गैर-कस्टोडियल लिक्विडिटी प्रदाताओं का उल्लंघन किया, जो एक ऑन-चेन प्राइसिंग डेटा फीड ओरेकल का उपयोग करता है। 

ओरेकल स्मार्ट कॉन्ट्रैक्ट्स को बाहरी जानकारी प्रदान करते हैं, जैसे कि परिसंपत्ति की कीमतें, जिसका हैकर्स ने लेन-देन के बीच में शोषण किया और कृत्रिम रूप से अनुकूल दर पर टोकन निकाल लिए।

Makina हैकर ने $5 मिलियन छीनने के लिए फ्लैश लोन का इस्तेमाल किया

CertiK के एक सुरक्षा इंजीनियर के अनुसार, अपराधी ने बिना अग्रिम संपार्श्विक के 280 मिलियन USDC उधार लेकर शुरुआत की, इस शर्त पर कि धन को उसी लेन-देन में चुकाया जाएगा।

उधार ली गई राशि में से, लगभग 170 मिलियन USDC का उपयोग MachineShareOracle में हस्तक्षेप करने के लिए किया गया था, जो पूल को शेयर की कीमतों की रिपोर्ट करने के लिए जिम्मेदार है। फ्लैश लोन के माध्यम से उधार ली गई पूंजी को इंजेक्ट करने के बाद, वे अस्थायी रूप से ओरेकल के मूल्य डेटा को विकृत करने और इसे गलत मूल्य निर्धारण जानकारी पर भरोसा करने में सक्षम हो गए।

जब ओरेकल ने बढ़े हुए मूल्यों की रिपोर्ट करना शुरू किया, तो हमलावर ने लगभग 110 मिलियन USDC को एक ऐसे पूल के खिलाफ स्वैप किया जिसमें केवल लगभग $5 मिलियन की लिक्विडिटी थी। चूंकि पूल को लगा कि परिसंपत्तियां वास्तव में जितनी थीं उससे अधिक मूल्यवान हैं, इसलिए इसने जितना होना चाहिए था उससे कहीं अधिक भुगतान किया और खुद को खाली कर दिया। 

"एक शेयर-मूल्य ओरेकल को mid-tx में धकेला गया, जिससे एक Curve पूल ने बढ़ी हुई दर पर भुगतान किया। DUSD/USDC पूल से ~5.1M USDC निकल गया, हमलावर को लगभग 4.1M का लाभ हुआ," सुरक्षा इंजीनियर ने कहा।

Makina Finance पिछले फरवरी में लॉन्च किया गया था, जो खुद को एक संस्थागत-ग्रेड DeFi निष्पादन इंजन के रूप में मार्केटिंग कर रहा था। DeFiLlama के डेटा के अनुसार, प्रोटोकॉल में लगभग $100.49 मिलियन का कुल लॉक्ड वैल्यू है। 

MEV बिल्डर ने Makina शोषण संख्या को $800k से काट दिया

हैकर ने DUSD की आय ली और उन्हें ether में स्वैप किया, परिसंपत्तियों को समेकित और पुनर्स्थित करने के लिए कई लेन-देन निष्पादित किए। हालांकि, CertiK के अनुसार, शोषण लेन-देन आंशिक रूप से एक MEV बिल्डर द्वारा फ्रंटरन किया गया था। 

अधिकतम निष्कर्षण योग्य मूल्य वह लाभ है जिसे ब्लॉक बिल्डर और वैलिडेटर ऑन-चेन पर प्रोसेस होने से पहले लेन-देन को पुनर्व्यवस्थित, इंजेक्ट और सेंसर करके अधिकतम कर सकते हैं। इस मामले में, एड्रेस प्रीफिक्स 0xa6c2 द्वारा पहचानी गई एक MEV इकाई ने शोषण के दौरान अधिकांश मूल्य प्राप्त किया। 

CertiK ने अनुमान लगाया कि MEV बिल्डर ने स्टेबलकॉइन पूल से निकाले गए $5 मिलियन में से लगभग $4.14 मिलियन जब्त कर लिए।

MEV रूटिंग ने शेष ether को दो पतों के बीच विभाजित किया: पहले (0xbed) में $3.3 मिलियन ETH था, और दूसरे (0x573d) में लगभग 276 ETH था।

मंगलवार सुबह लगभग 6:42 AM UTC पर, Makina Finance ने X पर एक बयान लिखा जिसमें हैक को स्वीकार किया गया लेकिन जोर देकर कहा कि इस मुद्दे ने पूरे प्रोटोकॉल की बुनियादी ढांचे को प्रभावित नहीं किया।

Makina ने DUSD Curve पूल में लिक्विडिटी प्रदाताओं से भी अपनी लिक्विडिटी को हटाने के लिए कहा क्योंकि यह "प्रभावित उपयोगकर्ताओं और LPs के लिए उचित अगले कदम" निर्धारित करता है। टीम ने घटना की समीक्षा पूरी होते ही समुदाय को और अपडेट प्रदान करने का भी वादा किया।

DeFi प्रोटोकॉल का फ्लैश लोन हमला उस वर्ष के लिए विनाश की घंटी बजाता है जिससे क्रिप्टो उपयोगकर्ताओं को बिना किसी नुकसान के निकलने की उम्मीद थी, एक भयानक 2025 के बाद जिसमें बाजार से $3 बिलियन से अधिक की चोरी हुई। 

Cyvers की एक Web3 सुरक्षा और धोखाधड़ी रिपोर्ट ने पिछले साल 108 धोखाधड़ी और सुरक्षा से संबंधित घटनाओं को दर्ज किया, और कम से कम 140 एक्सचेंजों और ट्रेडिंग प्लेटफॉर्म से लगभग $16 बिलियन की क्रिप्टो परिसंपत्तियां ठगी गईं।

Cyvers ने 780,000 पतों से 4.2 मिलियन से अधिक धोखाधड़ी वाले लेन-देन और लगभग 19,000 सक्रिय धोखाधड़ी नेटवर्क की भी रिपोर्ट की, जिसमें USDT, ETH और USDC जैसी परिसंपत्तियां शामिल थीं।

यदि आप यह पढ़ रहे हैं, तो आप पहले से ही आगे हैं। हमारे न्यूज़लेटर के साथ वहीं बने रहें।