Makina Finance a subi une attaque par prêt éclair le 20 janvier, entraînant une perte de 4,1 millions de dollars.
L'attaquant a utilisé des bots MEV pour spéculer sur les transactions, ce qui lui a permis d'extraire 1 299 ETH du protocole.
Détails de la violation
Société de sécurité blockchain PeckShieldAlert signalé sur X, que Makina Finance a été exploitée pour environ 1 299 ETH, d'une valeur d'environ 4,13 millions de dollars. Les données en chaîne montrent que l'attaquant a ciblé le pool Dialectic USD/USDC Stableswap en manipulant son prix.
Selon CertiKAlert, la violation a commencé avec le hacker emprunt un prêt flash de 280 millions de USDC. En utilisant 170 millions de USDC, ils ont procédé à manipuler le MachineShareOracle, sur lequel le pool DUSD/USDC s'appuie pour la fixation des prix. L'attaquant a ensuite échangé 110 millions de USDC via le pool, extrayant environ 5 millions de dollars de valeur.
Un robot MEV, opérant depuis l'adresse 0xa6c2, a devancé la transaction, exécutant une série d'échanges rapides qui ont drainé environ 1 299 ETH du pool. Les fonds volés ont ensuite été transférés vers deux adresses, avec 0xbed2 détenant environ 3,3 millions de dollars et 0x573d conservant 880 000 dollars.
Makina Finance a depuis résolu la situation via leurs réseaux sociaux, déclarant,
« Gmak, tôt ce matin, nous avons reçu des rapports concernant un incident avec la piscine $DUSD Curve. »
L'équipe de l'entreprise a précisé que le problème est limité uniquement à ses positions de fournisseur de liquidité DUSD sur Curve, sans signe indiquant que d'autres actifs ou déploiements sont affectés. L'équipe a également confirmé la sécurité des actifs sous-jacents stockés dans les machines.
À titre de précaution, le mode de sécurité a été activé sur toutes les machines pendant que l'équipe continue d'évaluer la situation. Les fournisseurs de liquidité dans le pool DUSD Curve ont également été informés de retirer leurs fonds.
Ailleurs, CyversAlerts a signalé des transactions suspectes impliquant SynapLogic sur Base. Rapports indiquer que le hacker a été initialement financé via Tornado Cash sur Ethereum avant de transférer des fonds vers Base en utilisant GasZip et a plus tard acquis environ 144 000 jetons SYP.
Cependant, SynapLogic a confirmé plus tard que le problème avait été entièrement résolu, indiquant que ses systèmes fonctionnent normalement et que tous les fonds des utilisateurs restent en sécurité.
Mise à jour de Truebit
L'épisode intervient à peine une semaine après le premier grand piratage DeFi de 2026. Le protocole Truebit récemment expérimenté une violation de la sécurité, entraînant la perte d'environ 26,5 millions de dollars en ETH. Les enquêtes ont révélé que le hacker avait profité d'une vulnérabilité dans la logique de tarification du contrat intelligent, ce qui lui a permis de créer des jetons TRU sans frais.
Après l'exploit, l'équipe du projet a annoncé qu'elle enquêtait sur la situation. Au moment de la rédaction de cet article, aucun plan officiel de récupération n'a été annoncé, et les fonds exploités restent sur la chaîne.
Pendant ce temps, des entreprises de sécurité sur la chaîne comme SlowMist et Certik ont publié des rapports d'autopsie, avertissement que les anciennes versions de Solidity constituent toujours un risque systémique dans le DeFi. Le premier recommandait que ces systèmes soient protégés en utilisant la bibliothèque SafeMath afin de prévenir les vulnérabilités de logique causées par les débordements d'entiers.
Le message Makina Finance perd 4,13 millions de dollars dans une exploitation par prêt flash sur le pool Curve a été publié(e) pour la première fois sur CryptoPotato.