Makina lijdt $4,13M exploit in DUSD/USDC Curve pool

Makina, een gedecentraliseerd financieel protocol met geautomatiseerde uitvoering, werd dinsdagochtend vroeg getroffen door een exploit die zijn DUSD/USDC liquiditeitspool op Curve leegzoog, volgens blockchainbeveiligingsbedrijf PeckShield. 

Makina Finance heeft naar verluidt ongeveer 1.299 Ether verloren uit zijn Curve stablecoin-pool aan hackers. Het werd destijds gewaardeerd op ongeveer $4,13 miljoen. Volgens de analyse van Peckshield schonden aanvallers de niet-custodiale liquiditeitsproviders van het protocol op de DUSD/USDC CurveStable-pool, die een on-chain prijsdata feed oracle gebruikt. 

Oracles voorzien smart contracts van externe informatie, zoals activaprijzen, die de hackers tijdens de transactie misbruikten en de tokens opnamen tegen een kunstmatig gunstig tarief.

Makina-hacker gebruikte flash loans om $5 miljoen weg te nemen

Volgens een beveiligingsingenieur bij CertiK begon de dader met het lenen van 280 miljoen USDC zonder vooraf onderpand, op voorwaarde dat de fondsen in dezelfde transactie zouden worden terugbetaald.

Van het geleende bedrag werd ongeveer 170 miljoen USDC gebruikt om de MachineShareOracle te verstoren, die verantwoordelijk is voor het rapporteren van aandelenprijzen aan de pool. Na het injecteren van kapitaal geleend via een flash loan, konden ze tijdelijk de prijsdata van de oracle scheeftrekken en deze misleiden om onjuiste prijsinformatie te vertrouwen.

Toen de oracle opgeblazen waarden begon te rapporteren, verwisselde de aanvaller ongeveer 110 miljoen USDC tegen een pool die slechts ongeveer $5 miljoen aan liquiditeit bezat. Omdat de pool dacht dat activa meer waard waren dan ze werkelijk waren, betaalde het veel meer uit dan het zou moeten en ledigde het zichzelf. 

"Een aandelenprijs-oracle werd mid-tx gepusht, waardoor een Curve-pool tegen een opgeblazen tarief uitbetaalde. ~5,1M USDC verliet de DUSD/USDC-pool, de aanvaller maakt ongeveer 4,1M winst," zei de beveiligingsingenieur.

Makina Finance werd vorige februari gelanceerd en positioneerde zichzelf als een DeFi-uitvoeringsmotor van institutionele kwaliteit. Volgens gegevens van DeFiLlama heeft het protocol ongeveer $100,49 miljoen aan totale vergrendelde waarde. 

MEV-builder verlaagde de Makina-exploitcijfers met $800k

De hacker nam de DUSD-opbrengsten en verwisselde ze in ether, waarbij meerdere transacties werden uitgevoerd om de activa te consolideren en te herpositioneren. Volgens CertiK werd de exploittransactie echter gedeeltelijk gefrontrun door een MEV-builder. 

Maximaal extraheerbare waarde is de winst die block builders en validators kunnen maximaliseren door transacties te herschikken, injecteren en censureren voordat ze on-chain worden verwerkt. In dit geval verzamelde een MEV-entiteit geïdentificeerd door het adresprefix 0xa6c2 het grootste deel van de waarde terwijl de exploit zich ontvouwde. 

CertiK schatte dat de MEV-builder ongeveer $4,14 miljoen in beslag nam van de $5 miljoen die ze uit de stablecoin-pool hadden opgenomen.

De MEV-routing verdeelde de resterende ether tussen twee adressen: de eerste (0xbed) bevatte $3,3 miljoen in ETH, en de andere (0x573d) bevatte ongeveer 276 ETH.

Om ongeveer 6:42 uur UTC dinsdagochtend schreef Makina Finance een verklaring op X waarin de hack werd erkend, maar beweerde dat het probleem de infrastructuur van het hele protocol niet aantastte.

Makina vroeg ook liquiditeitsproviders in de DUSD Curve-pool om hun liquiditeit te verwijderen terwijl het "de passende volgende stappen voor getroffen gebruikers en LP's" bepaalt. Het team beloofde ook de gemeenschap met meer updates te voorzien zodra de incidentbeoordeling is voltooid.

De flash loan-aanval van het DeFi-protocol betekent onheil voor een jaar waarvan crypto-gebruikers hadden gehoopt er ongeschonden vanaf te komen, na een verschrikkelijk 2025 waarin meer dan $3 miljard uit de markt werd gestolen. 

Een Web3 Security and Fraud Report van Cyvers documenteerde 108 fraude- en beveiligingsgerelateerde incidenten vorig jaar, en ongeveer $16 miljard aan crypto-activa opgelicht van minstens 140 exchanges en handelsplatforms.

Cyvers rapporteerde ook meer dan 4,2 miljoen frauduleuze transacties van 780.000 adressen en bijna 19.000 actieve fraudenetwerken, waarbij activa zoals USDT, ETH en USDC betrokken waren.

Als je dit leest, ben je al voorop. Blijf daar met onze nieuwsbrief.