Makina ถูกโจมตีขโมยเงิน $4.13M ใน Curve pool DUSD/USDC

Makina โปรโตคอลการเงินแบบกระจายอำนาจที่มีการดำเนินการอัตโนมัติ ประสบเหตุการณ์ถูกโจมตีในช่วงเช้าตรู่ของวันอังคารที่ทำให้กองทุนสภาพคล่อง DUSD/USDC บน Curve ถูกดูดออกไป ตามรายงานของบริษัทรักษาความปลอดภัยบลอกเชน PeckShield 

Makina Finance มีรายงานว่าสูญเสีย Ether ประมาณ 1,299 จากกองทุนสเตเบิลคอยน์ Curve ให้กับแฮ็กเกอร์ มีมูลค่าประมาณ 4.13 ล้านดอลลาร์ในขณะนั้น ตามการวิเคราะห์ของ Peckshield ผู้โจมตีได้ฝ่าฝืนผู้ให้บริการสภาพคล่องแบบไม่เก็บรักษาของโปรโตคอลบนกองทุน DUSD/USDC CurveStable ซึ่งใช้ออราเคิลฟีดข้อมูลราคาบนเชน 

ออราเคิลให้ข้อมูลภายนอกแก่สมาร์ทคอนแทรกต์ เช่น ราคาสินทรัพย์ ซึ่งแฮ็กเกอร์ได้ใช้ประโยชน์ในระหว่างธุรกรรมและถอนโทเค็นในอัตราที่เอื้อประโยชน์อย่างเทียม

แฮ็กเกอร์ Makina ใช้แฟลชโลนเพื่อชิงเงิน 5 ล้านดอลลาร์

ตามรายงานของวิศวกรด้านความปลอดภัยที่ CertiK ผู้กระทำผิดเริ่มต้นด้วยการกู้ยืม USDC 280 ล้านโดยไม่มีหลักประกันล่วงหน้า ภายใต้เงื่อนไขว่าเงินจะต้องถูกชำระคืนในธุรกรรมเดียวกัน

จากจำนวนเงินที่ยืมมา ประมาณ 170 ล้าน USDC ถูกใช้เพื่อรบกวน MachineShareOracle ซึ่งรับผิดชอบในการรายงานราคาหุ้นให้กับกองทุน หลังจากฉีดเงินทุนที่ยืมมาผ่านแฟลชโลน พวกเขาสามารถบิดเบือนข้อมูลราคาของออราเคิลชั่วคราวและหลอกให้เชื่อข้อมูลราคาที่ไม่ถูกต้อง

เมื่อออราเคิลเริ่มรายงานมูลค่าที่สูงเกินจริง ผู้โจมตีได้สวอป USDC ประมาณ 110 ล้านกับกองทุนที่มีสภาพคล่องเพียงประมาณ 5 ล้านดอลลาร์ เนื่องจากกองทุนเชื่อว่าสินทรัพย์มีมูลค่ามากกว่าที่เป็นจริง จึงจ่ายเงินออกไปมากกว่าที่ควรจะเป็นและทำให้กองทุนว่างเปล่า 

"ออราเคิลราคาหุ้นถูกผลักดันในระหว่างธุรกรรม ทำให้กองทุน Curve จ่ายเงินในอัตราที่สูงเกินจริง USDC ประมาณ 5.1 ล้านออกจากกองทุน DUSD/USDC ผู้โจมตีได้กำไรประมาณ 4.1 ล้าน" วิศวกรด้านความปลอดภัยกล่าว

Makina Finance เปิดตัวเมื่อเดือนกุมภาพันธ์ที่ผ่านมา โดยนำเสนอตัวเองเป็นเครื่องมือดำเนินการ DeFi ระดับสถาบัน ตามข้อมูลจาก DeFiLlama โปรโตคอลมีมูลค่ารวมที่ล็อคไว้ประมาณ 100.49 ล้านดอลลาร์ 

ผู้สร้าง MEV ลดตัวเลขการโจมตี Makina ลง 800,000 ดอลลาร์

แฮ็กเกอร์นำเงินที่ได้จาก DUSD ไปสวอปเป็นอีเธอร์ โดยดำเนินการหลายธุรกรรมเพื่อรวบรวมและจัดตำแหน่งสินทรัพย์ใหม่ อย่างไรก็ตาม ตาม CertiK ธุรกรรมการโจมตีถูก frontrun บางส่วนโดยผู้สร้าง MEV 

มูลค่าสูงสุดที่สามารถดึงออกมาได้คือกำไรที่ผู้สร้างบลอกและผู้ตรวจสอบสามารถเพิ่มสูงสุดได้โดยการจัดลำดับใหม่ ฉีดเข้าไป และเซ็นเซอร์ธุรกรรมก่อนที่จะถูกประมวลผลบนเชน ในกรณีนี้ หน่วยงาน MEV ที่ระบุด้วยคำนำหน้าที่อยู่ 0xa6c2 ได้รับมูลค่าส่วนใหญ่ในขณะที่การโจมตีดำเนินไป 

CertiK ประเมินว่าผู้สร้าง MEV ยึดเงินประมาณ 4.14 ล้านดอลลาร์จากเงิน 5 ล้านดอลลาร์ที่พวกเขาถอนออกจากกองทุนสเตเบิลคอยน์

การกำหนดเส้นทาง MEV แบ่งอีเธอร์ที่เหลือระหว่างสองที่อยู่: ที่แรก (0xbed) ถือ ETH มูลค่า 3.3 ล้านดอลลาร์ และอีกที่หนึ่ง (0x573d) ถือประมาณ 276 ETH

เมื่อเวลาประมาณ 6:42 น. UTC ของวันอังคาร Makina Finance เขียนแถลงการณ์บน X ยอมรับการถูกแฮ็ก แต่ยืนยันว่าปัญหาไม่ได้ส่งผลกระทบต่อโครงสร้างพื้นฐานทั้งหมดของโปรโตคอล

Makina ยังขอให้ผู้ให้บริการสภาพคล่องในกองทุน DUSD Curve ถอนสภาพคล่องของพวกเขาออก ในขณะที่กำหนด "ขั้นตอนถัดไปที่เหมาะสมสำหรับผู้ใช้และ LP ที่ได้รับผลกระทบ" ทีมงานยังสัญญาว่าจะให้ข้อมูลอัปเดตเพิ่มเติมแก่ชุมชนทันทีที่การตรวจสอบเหตุการณ์เสร็จสมบูรณ์

การโจมตีแฟลชโลนของโปรโตคอล DeFi สร้างความหายนะให้กับปีที่ผู้ใช้คริปโตหวังว่าจะผ่านพ้นไปได้อย่างปลอดภัย หลังจากปี 2025 ที่น่ากลัวซึ่งเห็นเงินถูกขโมยไปจากตลาดมากกว่า 3 พันล้านดอลลาร์ 

รายงานความปลอดภัยและการฉ้อโกง Web3 จาก Cyvers บันทึกเหตุการณ์การฉ้อโกงและความปลอดภัย 108 ครั้งในปีที่แล้ว และสินทรัพย์คริปโตประมาณ 16 พันล้านดอลลาร์ถูกหลอกลวงจากตลาดแลกเปลี่ยนและแพลตฟอร์มเทรดอย่างน้อย 140 แห่ง

Cyvers ยังรายงานธุรกรรมฉ้อโกงมากกว่า 4.2 ล้านรายการจากที่อยู่ 780,000 ที่อยู่ และเครือข่ายฉ้อโกงที่ใช้งานอยู่เกือบ 19,000 เครือข่าย ที่เกี่ยวข้องกับสินทรัพย์เช่น USDT, ETH และ USDC

หากคุณกำลังอ่านสิ่งนี้ คุณก้าวนำอยู่แล้ว อยู่ในตำแหน่งนั้นต่อไปกับจดหมายข่าวของเรา