Makina Finance пострадала от эксплойта flash loan 20 января, в результате чего был потерян 4,1 миллион долларов.
Атакующий использовал ботов MEV для передового исполнения транзакций, что позволило ему вывести 1 299 ETH из протокола.
Детали утечки
Компания по обеспечению безопасности блокчейна PeckShieldAlert сообщено на X, что Makina Finance была использована для получения около 1 299 ETH, что составляет около 4,13 миллиона долларов. Данные из блокчейна показывают, что атакующий выбрал в качестве цели пул Dialectic USD/USDC Stableswap, манипулируя его ценой.
Согласно CertiKAlert, взлом начался с хакера заем флеш-кредит в размере 280 миллионов USDC. Используя 170 миллионов USDC, они приступили к манипуляциям с MachineShareOracle, на который опирается пул DUSD/USDC для установления цен. Затем злоумышленник обменял 110 миллионов USDC через пул, извлекая примерно 5 миллионов долларов США в виде прибыли.
MEV-бот, работающий с адреса 0xa6c2, обогнал транзакцию, совершив серию быстрых сделок, которые изъяли около 1 299 ETH из пула. Похищенные средства позже были переведены на два адреса, где 0xbed2 держит около 3,3 млн долларов, а 0x573d хранит 880 000 долларов.
Makina Finance с тех пор прокомментировала ситуацию через свои социальные сети, утверждение,
«Гмак, сегодня утром мы получили сообщения об инциденте с пулом $DUSD Curve».
Команда компании уточнила, что проблема касается только позиций DUSD поставщика ликвидности на Curve, и нет признаков, что другие активы или развертывания затронуты. Команда также подтвердила безопасность базовых активов, хранящихся в машинах.
В качестве меры предосторожности режим безопасности был активирован на всех машинах, в то время как команда продолжает оценку ситуации. Также было рекомендовано поставщикам ликвидности в пуле DUSD Curve вывести свои средства.
В других местах CyversAlerts отметил подозрительные транзакции, связанные с SynapLogic на Base. Отчеты указать что хакер изначально финансировался через Tornado Cash на Ethereum, прежде чем перевести средства на Base с помощью GasZip, а позже приобрел около 144 000 токенов SYP.
Однако позже SynapLogic подтвердила, что проблема полностью решена, заявив, что ее системы работают нормально, а все средства пользователей остаются в безопасности.
Обновление Truebit
Эпизод произошел всего за неделю до первого крупного взлома DeFi в 2026 году. Недавно протокол Truebit опытный утечка безопасности, в результате которой было потеряно около 26,5 миллионов долларов США в ETH. Расследования показали, что хакер воспользовался уязвимостью в логике ценообразования смарт-контракта, что позволило ему создавать токены TRU бесплатно.
После взлома команда проекта заявила, что она изучает ситуацию. На момент написания этой статьи официальный план восстановления не объявлялся, а взломанные средства остаются в блокчейне.
Между тем, компании по обеспечению безопасности в блокчейне, такие как SlowMist и Certik, опубликовали пост-мортем, предупреж что устаревшие версии Solidity остаются системным риском в DeFi. Ранее рекомендовалось защищать такие системы с помощью библиотеки SafeMath, чтобы предотвратить логические уязвимости, вызванные переполнением целых чисел.
Пост Makina Finance теряет 4,13 млн долларов США при атаке с использованием мгновенного кредита в пуле Curve впервые появился на CryptoPotato.