Makina sofre exploração de 4,13 M$ no pool Curve DUSD/USDC

Makina, um protocolo de finanças descentralizadas com execução automatizada, sofreu um exploit na manhã de terça-feira que drenou o seu pool de liquidez DUSD/USDC na Curve, de acordo com a empresa de segurança blockchain PeckShield. 

A Makina Finance terá perdido cerca de 1.299 Ether do seu pool de stablecoin na Curve para hackers. Foi avaliado em cerca de 4,13 milhões de dólares na altura. Segundo a análise da Peckshield, os atacantes violaram os provedores de liquidez não custodiais do protocolo no pool DUSD/USDC CurveStable, que utiliza um oráculo de feed de dados de preços on-chain. 

Os oráculos fornecem aos contratos inteligentes informações externas, como preços de ativos, que os hackers exploraram a meio da transação e retiraram os tokens a uma taxa artificialmente favorável.

Hacker da Makina usou empréstimos flash para roubar 5 milhões de dólares

De acordo com um engenheiro de segurança da CertiK, o perpetrador começou por pedir emprestado 280 milhões de USDC sem garantia inicial, com a condição de que os fundos seriam reembolsados na mesma transação.

Do montante emprestado, cerca de 170 milhões de USDC foram usados para interferir com o MachineShareOracle, que é responsável por reportar os preços das ações ao pool. Após injetar capital emprestado através de um empréstimo flash, conseguiram distorcer temporariamente os dados de preços do oráculo e enganá-lo para confiar em informações de preços imprecisas.

Quando o oráculo começou a reportar valores inflacionados, o atacante trocou aproximadamente 110 milhões de USDC contra um pool que detinha apenas cerca de 5 milhões de dólares em liquidez. Como o pool acreditava que os ativos valiam mais do que realmente valiam, pagou muito mais do que deveria e esvaziou-se. 

"Um oráculo de preço de ações foi manipulado a meio da transação, permitindo que um pool da Curve pagasse a uma taxa inflacionada. ~5,1M de USDC saíram do pool DUSD/USDC, o atacante lucrou cerca de 4,1M", disse o engenheiro de segurança.

A Makina Finance foi lançada em fevereiro passado, comercializando-se como um motor de execução DeFi de nível institucional. De acordo com dados do DeFiLlama, o protocolo detém aproximadamente 100,49 milhões de dólares em valor total bloqueado. 

Construtor MEV reduziu os números do exploit da Makina em 800 mil dólares

O hacker pegou nos lucros DUSD e trocou-os por ether, executando várias transações para consolidar e reposicionar os ativos. No entanto, de acordo com a CertiK, a transação de exploit foi parcialmente antecipada por um construtor MEV. 

O valor máximo extraível é o lucro que os construtores de blocos e validadores podem maximizar reordenando, injetando e censurando transações antes de serem processadas on-chain. Neste caso, uma entidade MEV identificada pelo prefixo de endereço 0xa6c2 acumulou a maior parte do valor à medida que o exploit se desenrolava. 

A CertiK estimou que o construtor MEV apreendeu aproximadamente 4,14 milhões de dólares dos 5 milhões de dólares que haviam retirado do pool de stablecoin.

O roteamento MEV dividiu o ether restante entre dois endereços: o primeiro (0xbed) detinha 3,3 milhões de dólares em ETH, e o outro (0x573d) detinha cerca de 276 ETH.

Por volta das 06:42 UTC de terça-feira, a Makina Finance escreveu uma declaração no X reconhecendo o hack, mas insistiu que o problema não afetou toda a infraestrutura do protocolo.

A Makina também pediu aos provedores de liquidez no pool DUSD da Curve que removessem a sua liquidez enquanto determina "os próximos passos apropriados para utilizadores e LPs afetados". A equipa também prometeu fornecer à comunidade mais atualizações assim que a revisão do incidente esteja concluída.

O ataque de empréstimo flash ao protocolo DeFi representa um mau presságio para um ano que os utilizadores de cripto esperavam sair ilesos, após um terrível 2025 que viu mais de 3 mil milhões de dólares roubados do mercado. 

Um Relatório de Segurança e Fraude Web3 da Cyvers documentou 108 incidentes relacionados com fraude e segurança no ano passado, e cerca de 16 mil milhões de dólares em ativos cripto foram desviados de pelo menos 140 exchanges e plataformas de negociação.

A Cyvers também reportou mais de 4,2 milhões de transações fraudulentas de 780.000 endereços e quase 19.000 redes de fraude ativas, envolvendo ativos como USDT, ETH e USDC.

Se está a ler isto, já está à frente. Mantenha-se assim com a nossa newsletter.