Ethereum, platforma DeFi Makina Finance straciła 1 299 ETH o wartości około 4,1 miliona dolarów 20 stycznia po tym, jak hakerzy zmanipulowali ceny orakli w jej puli płynności DUSD-USDC hostowanej na Curve Finance.
Budowniczy MEV przeprowadził atak i przechwycił większość skradzionych funduszy, komplikując wysiłki na rzecz odzyskania dla tego protokołu zarządzania zyskiem uruchomionego w lutym 2025.
Firma zajmująca się bezpieczeństwem blockchain PeckShield wykryła exploit po raz pierwszy o 03:40:35 UTC, atakujący zamienił skradzione tokeny na ETH w dwóch portfelach, które obecnie posiadają aktywa.
Co się stało
Napastnik zaciągnął pożyczkę błyskawiczną w wysokości 280 milionów USDC, używając 170 milionów do manipulacji MachineShareOracle, który określa ceny puli stablecoinów Dialectic USD i Dialectic USDC.
Po sztucznym podniesieniu cen puli, napastnik wymienił 110 milionów USDC na manipulowaną pulę, aby opróżnić 1 299 ETH, zanim spłacił pożyczkę błyskawiczną.
PeckShield potwierdził, że atak wykorzystywał lukę w manipulacji cenami, autor dodając płynność tuż przed podniesieniem cen, a następnie ją wycofując z zyskiem.
Jednakże adres MEV buildera zaczynający się od 0xa6c2 zafrontrował transakcję, która opróżniła pulę, przejmując około 4,14 miliona dolarów z skradzionych funduszy.
Do przeczytania również: Stopy obligacji w Japonii osiągają najwyższe poziomy od wielu lat, zagrażając globalnej płynności kryptowalutowej
Aktualna sytuacja
Skradzione ETH znajdują się obecnie na dwóch adresach Ethereum: portfel 0xbed2...dE25 posiadający 3,3 miliona dolarów i portfel 0x573d...910e zawierający 880 000 dolarów.
Makina włączyła tryb bezpieczeństwa we wszystkich swoich inteligentnych kontraktach i doradziła dostawcom płynności w puli DUSD na Curve, aby wycofali pozostałe środki.
Platforma potwierdziła, że exploit wpłynął tylko na pozycje dostawców płynności DUSD na Curve, podczas gdy inne aktywa i wdrożenia pozostały niezmienione.
Firmy zajmujące się bezpieczeństwem, takie jak PeckShield, ExVul i TenArmor, wezwały użytkowników do cofnięcia zezwoleń na inteligentne kontrakty i unikania wszelkiej interakcji z kontraktami Makina w oczekiwaniu na wyniki dochodzenia.
Kontekst bezpieczeństwa DeFi
Eksploity za pośrednictwem pożyczek błyskawicznych pozostają powszechne pomimo wzmocnienia bezpieczeństwa, zdecentralizowana giełda Bunni straciła 8,4 miliona dolarów w październiku 2025 roku, a Shibarium zostało zaatakowane na kwotę 2,4 miliona dolarów we wrześniu.
Jednak dane z Chainalysis pokazują, że straty związane z hackami DeFi pozostały umiarkowane przez cały 2025 rok, mimo że całkowita wartość zablokowana osiągnęła 119 miliardów dolarów, co stanowiło zerwanie z historycznymi trendami, gdzie napływy kapitału wiązały się ze wzrostem ataków.
Całkowita kradzież kryptowalut osiągnęła 3,4 miliarda dolarów w 2025 roku, ale cel ataków przesunął się w kierunku platform scentralizowanych i portfeli osobistych, zamiast protokołów DeFi.
Do przeczytania później: Rosyjscy ustawodawcy proponują surowe kary za wydobycie: osoby fizyczne stają w obliczu grzywien w wysokości 1 500 USD, firmy 100 000 USD+
