Ethereum, la plataforma DeFi Makina Finance ha perdido 1 299 ETH de un valor de aproximadamente 4,1 millones de dólares el 20 de enero después de que hackers manipularon los oráculos de precios en su pool de liquidez DUSD-USDC alojado en Curve Finance.
Un constructor MEV ha adelantado el ataque y ha capturado la mayoría de los fondos robados, complicando los esfuerzos de recuperación para este protocolo de gestión de rendimiento lanzado en febrero de 2025.
La empresa de seguridad blockchain PeckShield ha detectado la explotación por primera vez a 03:40:35 UTC, el atacante habiendo convertido los tokens robados en ETH en dos billeteras que actualmente poseen los activos.
Lo que sucedió
El atacante contrató un préstamo flash de 280 millones de USDC, utilizando 170 millones para manipular el MachineShareOracle que determina los precios del pool de stablecoins Dialectic USD y Dialectic USDC.
Después de inflar artificialmente los precios del pool, el atacante intercambió 110 millones de USDC por el pool manipulado para drenar 1,299 ETH antes de reembolsar el préstamo flash.
PeckShield ha confirmado que el ataque explotó una vulnerabilidad de manipulación de precios, el autor añadiendo liquidez justo antes de inflar los precios y luego retirándola con las ganancias.
Sin embargo, una dirección de MEV builder que comienza con 0xa6c2 ha frontraneado la transacción que vació el pool, capturando aproximadamente 4,14 millones de dólares de los fondos robados.
A leer también: Los rendimientos de bonos de Japón alcanzan máximos de varias décadas, amenazando la liquidez global de criptomonedas
Situación actual
Los ETH robados se encuentran actualmente en dos direcciones de Ethereum: la billetera 0xbed2...dE25 que posee 3,3 millones de dólares y la billetera 0x573d...910e que contiene 880,000 dólares.
Makina ha activado el modo de seguridad en todas sus bóvedas inteligentes y ha aconsejado a los proveedores de liquidez del pool DUSD en Curve que retiren los fondos restantes.
La plataforma ha confirmado que la explotación solo afectó las posiciones de los proveedores de liquidez DUSD en Curve, los demás activos y despliegues permaneciendo sin cambios.
Empresas de seguridad como PeckShield, ExVul y TenArmor han instado a los usuarios a revocar los permisos de contratos inteligentes y a evitar cualquier interacción con los contratos de Makina mientras se esperan los resultados de la investigación.
Contexto de seguridad DeFi
Las explotaciones a través de préstamos flash siguen siendo frecuentes a pesar del refuerzo de la seguridad, el intercambio descentralizado Bunni habiendo perdido 8,4 millones de dólares en octubre de 2025 y Shibarium habiendo sufrido un ataque de 2,4 millones de dólares en septiembre.
Sin embargo, los datos de Chainalysis muestran que las pérdidas relacionadas con hacks DeFi se mantuvieron moderadas a lo largo de 2025, incluso cuando el valor total bloqueado alcanzó 119 mil millones de dólares, marcando un quiebre con las tendencias históricas donde los flujos de capital venían acompañados de un aumento en los ataques.
El robo total de criptomonedas alcanzó 3,4 mil millones de dólares en 2025, pero el objetivo de los ataques se ha desplazado hacia las plataformas centralizadas y las billeteras personales en lugar de los protocolos DeFi.
A leer a continuación: Los legisladores rusos proponen duras sanciones por minería: los individuos enfrentan multas de $1,500, las empresas más de $100K
