Ethereum, platforma DeFi Makina Finance ztratila 1 299 ETH v hodnotě přibližně 4,1 milionu dolarů 20. ledna poté, co hackeři manipulovali s cenovými oracly na jejím likviditním poolu DUSD-USDC hostovaném na Curve Finance.
MEV builder předběhl útok a zachytil většinu ukradených prostředků, což zkomplikovalo úsilí o obnovu pro tento protokol správy výnosů zahájený v únoru 2025.
Společnost pro bezpečnost blockchainu PeckShield poprvé detekovala exploit v 03:40:35 UTC, útočník převedl ukradené tokeny na ETH na dvou peněženkách, které aktuálně drží aktiva.
Co se stalo
Útočník si vzal flash půjčku ve výši 280 milionů USDC, přičemž 170 milionů použil k manipulaci s MachineShareOracle, který určuje ceny poolu stablecoinů Dialectic USD a Dialectic USDC.
Poté, co uměle nafoukl ceny poolu, útočník vyměnil 110 milionů USDC za manipulovaný pool, aby vyčerpal 1 299 ETH, než splatil flash půjčku.
PeckShield potvrdil, že útok využíval zranitelnost manipulace s cenami, autor přidával likviditu těsně před nafouknutím cen a poté ji stahoval s zisky.
Nicméně, adresa MEV buildera začínající na 0xa6c2 předběhla transakci, která vyprázdnila pool, a zachytila přibližně 4,14 milionu dolarů z ukradených fondů.
K přečtení také: Japonské výnosy z dluhopisů dosáhly nejvyšších hodnot za několik desetiletí, ohrožující globální kryptoměnovou likviditu
Aktuální situace
Krádeže ETH se v současné době nacházejí na dvou adresách Ethereum: peněženka 0xbed2...dE25 držící 3,3 milionu dolarů a peněženka 0x573d...910e obsahující 880 000 dolarů.
Makina aktivovala bezpečnostní režim na všech svých chytrých kontraktech a doporučila poskytovatelům likvidity poolu DUSD na Curve, aby vybrali zbývající prostředky.
Platforma potvrdila, že exploit postihnul pouze pozice poskytovatelů likvidity DUSD na Curve, ostatní aktiva a nasazení zůstávají nezměněna.
Bezpečnostní společnosti jako PeckShield, ExVul a TenArmor vyzvaly uživatele, aby zrušili oprávnění chytrých kontraktů a vyhnuli se jakékoli interakci s kontrakty Makina v očekávání výsledků vyšetřování.
Bezpečnostní kontext DeFi
Exploity prostřednictvím flash půjček zůstávají časté navzdory posílení bezpečnosti, decentralizovaná burza Bunni ztratila 8,4 milionu dolarů v říjnu 2025 a Shibarium utrpělo útok ve výši 2,4 milionu dolarů v září.
Nicméně, data od Chainalysis ukazují, že ztráty spojené s hacky DeFi zůstaly během roku 2025 umírněné, přestože celková hodnota blokovaná dosáhla 119 miliard dolarů, což představuje odklon od historických trendů, kde příliv kapitálu byl spojen s nárůstem útoků.
Celková krádež kryptoměn dosáhla 3,4 miliardy dolarů v roce 2025, ale cílem útoků se staly centralizované platformy a osobní peněženky spíše než protokoly DeFi.
K přečtení dále: Ruští zákonodárci navrhují přísné pokuty za těžbu: jednotlivci čelí pokutám 1 500 USD, společnosti 100 000 USD+
