Nasawi ng Makina Finance ang isang flash loan na pagsusuri noong Enero 20, na nagresulta sa pagkawala ng $4.1 milyon.
Nagamit ang mananakop ng MEV bots upang magsagawa ng front-running sa mga transaksyon, na nagbigay-daan sa kanila upang kumuha ng 1,299 ETH mula sa protocol.
Mga Detalye ng Pagsalakay
Blockchain security firm PeckShieldAlert nauulat sa X na ginamit ang Makina Finance para sa mga 1,299 ETH, na may halaga na humigit-kumulang $4.13 milyon. Ang data mula sa on-chain ay nagpapakita na hinanap ng manlulupig ang Dialectic USD/USDC Stableswap pool sa pamamagitan ng pagmamaniobra sa presyo nito.
Ayon sa CertiKAlert, ang paglusob ay nagsimula sa hacker pagpapaloob isang flash loan ng 280 milyon USDC. Gamit ang 170 milyon USDC, pumasok sila upang manipulahin ang MachineShareOracle, kung saan umuunlad ang DUSD/USDC pool para sa presyo. Pagkatapos ay nag-swap ang nagnakaw ng 110 milyon USDC sa pamamagitan ng pool, kumuha ng halos $5 milyon na halaga.
Ang isang MEV bot, na gumagana mula sa address 0xa6c2, ay nangunguna sa transaksyon, nagawa ang isang serye ng mabilis na kalakalan na nagbawas ng tungkol sa 1,299 ETH mula sa pool. Ang mga kinuhang pera ay ilipat sa dalawang address, kasama ang 0xbed2 na mayroon tungkol sa $3.3 milyon at 0x573d na nagmamay-ari ng $880,000.
Ang Makina Finance ay nagbigay na ng tugon sa sitwasyon sa pamamagitan ng kanilang mga social media, pagsasabihin,
“Gmak, maagang umaga nang natanggap namin ang mga ulat tungkol sa isang insidente sa $DUSD Curve pool.”
Ang naging posisyon ng DUSD liquidity provider ng kumpanya sa Curve ang limitado lamang sa isyu, walang mga senyales na ang iba pang mga asset o deployment ay apektado. Tiniyak din ng grupo ang kaligtasan ng mga asset na nakaimbak sa mga makina.
Bilang isang panukulan, nakapagpapatuloy ang security mode sa lahat ng mga makina habang patuloy na inaantay ng koponan ang sitwasyon. Ang mga nagbibigay ng likididad sa DUSD Curve pool ay inaapi ding naipag-utos na tanggalin ang kanilang mga pera.
Sa ibang lugar, inilapag ng CyversAlerts ang mga suspicious na transaksyon na kinasasangkutan ng SynapLogic sa Base. mga Ulat ipakita na ang hacker ay unang binayaran sa pamamagitan ng Tornado Cash sa Ethereum bago humawak ng pera patungo sa Base gamit ang GasZip at mas late ay nakakuha ng humigit-kumulang 144,000 na mga token ng SYP.
Gayunpaman, kumpirmado ng SynapLogic na ang isyu ay ganap nang natapos, sinabi na ang kanilang mga sistema ay normal na gumagana at ang lahat ng pera ng user ay pa rin ligtas.
Truebit Update
Nagaganap ang kaganapan ay halos isang linggo matapos ang unang malaking DeFi na pagnanakaw noong 2026. Ang Truebit Protocol ay nangunguna kamakailan may karanasan isang paglabag sa seguridad, na nagresulta sa pagkawala ng humigit-kumulang $26.5 milyon na ETH. Ang mga imbestigasyon ay natagpuan na ang hacker ay nag-exploit ng isang kahinaan sa pricing logic ng smart contract, na nagpapahintulot sa kanila na magmint ng TRU tokens nang walang gastos.
Kasunod ng pagsasamantala, inanunsiyo ng koponan ng proyekto na pinag-aaralan nila ang sitwasyon. Sa oras ng pagsusulat, walang opisyales na plano ng pagbawi ang inanunsiyo, at ang mga puhunan na nasamantala ay nananatiling nasa on-chain.
Samantala, ang mga kumpanya ng seguridad sa on-chain tulad ng SlowMist at Certik ay nag-publish ng mga post-mortems, babala na ang mga lumang bersyon ng Solidity ay nananatiling panganib sa sistema sa DeFi. Ang dating inirekomenda na dapat protektahan ang mga ganitong sistema gamit ang library na SafeMath upang maiwasan ang mga kahinaan sa lohika na dulot ng integer overflows.
Ang post Nawala ng Makina Finance ang $4.13M dahil sa pag-atake ng flash loan sa Curve Pool nagawa una sa CryptoPotato.