Makina ponosi stratę 4,13 mln USD w wyniku exploitu w puli Curve DUSD/USDC

Makina, zdecentralizowany protokół finansowy z automatycznym wykonywaniem, padł ofiarą exploitu we wtorek wczesnym rankiem, który osuszył jego pulę płynności DUSD/USDC na Curve, według firmy zajmującej się bezpieczeństwem blockchain PeckShield. 

Makina Finance podobno straciło około 1 299 Ether ze swojej puli stablecoinów Curve na rzecz hakerów. W tamtym czasie było to warte około 4,13 miliona dolarów. Według analizy Peckshield, atakujący naruszyli protokół dostawców płynności non-custodial w puli DUSD/USDC CurveStable, która wykorzystuje oracle on-chain do pobierania danych cenowych. 

Oracle dostarczają smart kontraktom zewnętrzne informacje, takie jak ceny aktywów, które hakerzy wykorzystali w trakcie transakcji i wypłacili tokeny po sztucznie korzystnym kursie.

Haker Makina wykorzystał pożyczki flash do zgarniecia 5 milionów dolarów

Według inżyniera bezpieczeństwa w CertiK, sprawca rozpoczął od pożyczenia 280 milionów USDC bez zabezpieczenia z góry, pod warunkiem, że środki zostaną spłacone w tej samej transakcji.

Z pożyczonej kwoty około 170 milionów USDC zostało wykorzystane do ingerencji w MachineShareOracle, który odpowiada za raportowanie cen akcji do puli. Po wstrzyknięciu kapitału pożyczonego za pomocą flash loan, byli w stanie tymczasowo zniekształcić dane cenowe oracle i oszukać go, aby zaufał niedokładnym informacjom cenowym.

Gdy oracle zaczął raportować zawyżone wartości, atakujący wymienił około 110 milionów USDC na pulę, która posiadała tylko około 5 milionów dolarów płynności. Ponieważ pula wierzyła, że aktywa są warte więcej niż faktycznie były, wypłaciła znacznie więcej niż powinna i opróżniła się. 

"Oracle ceny akcji został przesunięty w trakcie transakcji, pozwalając puli Curve wypłacić po zawyżonym kursie. ~5,1M USDC opuściło pulę DUSD/USDC, atakujący zyskał około 4,1M," powiedział inżynier bezpieczeństwa.

Makina Finance zostało uruchomione w lutym zeszłego roku, reklamując się jako silnik wykonawczy DeFi klasy instytucjonalnej. Według danych z DeFiLlama, protokół przechowuje około 100,49 miliona dolarów w całkowitej wartości zablokowanej. 

Builder MEV obniżył liczby exploitu Makina o 800 tys. dolarów

Haker wziął wpływy z DUSD i wymienił je na ether, wykonując kilka transakcji w celu konsolidacji i repozycjonowania aktywów. Jednak według CertiK, transakcja exploitu została częściowo wyprzedzona przez buildera MEV. 

Maksymalna wartość do wydobycia to zysk, który budowniczowie bloków i walidatorzy mogą zmaksymalizować poprzez przestawianie, wstrzykiwanie i cenzurowanie transakcji przed ich przetworzeniem on-chain. W tym przypadku podmiot MEV zidentyfikowany przez prefiks adresu 0xa6c2 zgarniął większość wartości podczas trwania exploitu. 

CertiK oszacował, że builder MEV przejął około 4,14 miliona dolarów z 5 milionów dolarów, które wypłacili z puli stablecoinów.

Routing MEV podzielił pozostały ether między dwa adresy: pierwszy (0xbed) przechowywał 3,3 miliona dolarów w ETH, a drugi (0x573d) przechowywał około 276 ETH.

Około 6:42 czasu UTC we wtorek, Makina Finance napisało oświadczenie na X przyznając się do hacka, ale podkreśliło, że problem nie wpłynął na całą infrastrukturę protokołu.

Makina również poprosiło dostawców płynności w puli DUSD Curve o usunięcie swojej płynności, ponieważ określa "odpowiednie kolejne kroki dla dotkniętych użytkowników i LP". Zespół obiecał również dostarczyć społeczności więcej aktualizacji, gdy tylko przegląd incydentu zostanie zakończony.

Atak flash loan protokołu DeFi zapowiada zagładę dla roku, z którego użytkownicy krypto mieli nadzieję wyjść bez szwanku, po okropnym 2025 roku, w którym z rynku skradziono ponad 3 miliardy dolarów. 

Raport Web3 Security and Fraud od Cyvers udokumentował 108 incydentów związanych z oszustwami i bezpieczeństwem w zeszłym roku, i około 16 miliardów dolarów w aktywach krypto wyłudzonych z co najmniej 140 giełd i platform handlowych.

Cyvers zgłosił również ponad 4,2 miliona oszukańczych transakcji z 780 000 adresów i prawie 19 000 aktywnych sieci oszustw, obejmujących aktywa takie jak USDT, ETH i USDC.

Jeśli to czytasz, jesteś już przed innymi. Pozostań tam z naszym newsletterem.