Ethereum, die DeFi-Plattform Makina Finance, hat am 20. Januar 1 299 ETH im Wert von etwa 4,1 Millionen Dollar verloren, nachdem Hacker die Preisorakel in ihrem DUSD-USDC-Liquiditätspool, der auf Curve Finance gehostet wird, manipuliert hatten.
Ein MEV-Baumeister hat den Angriff vorgezogen und den Großteil der gestohlenen Gelder erbeutet, was die Bemühungen um die Wiederherstellung für dieses im Februar 2025 gestartete Renditeverwaltungsprotokoll kompliziert.
Das Blockchain-Sicherheitsunternehmen PeckShield hat den Exploit zum ersten Mal um 03:40:35 UTC entdeckt, wobei der Angreifer die gestohlenen Token in ETH auf zwei Wallets konvertiert hat, die derzeit die Vermögenswerte halten.
Was passiert ist
Der Angreifer hat einen Flash-Darlehen von 280 Millionen USDC aufgenommen und 170 Millionen verwendet, um den MachineShareOracle zu manipulieren, der die Preise des Stablecoin-Pools Dialectic USD und Dialectic USDC bestimmt.
Nachdem der Angreifer die Preise des Pools künstlich erhöht hatte, tauschte er 110 Millionen USDC gegen den manipulierten Pool, um 1.299 ETH abzuziehen, bevor er das Flash-Darlehen zurückzahlte.
PeckShield hat bestätigt, dass der Angriff eine Preismanipulationsanfälligkeit ausnutzte, wobei der Angreifer Liquidität kurz vor der Preiserhöhung hinzufügte und sie dann mit dem Gewinn abzog.
Dennoch hat eine MEV-Baueadresse, die mit 0xa6c2 beginnt, die Transaktion ausgeführt, die den Pool geleert hat, und etwa 4,14 Millionen Dollar aus den gestohlenen Geldern erbeutet.
Siehe auch: Japanische Anleihenrenditen erreichen mehrjährige Höchststände und bedrohen die globale Krypto-Liquidität.
Aktuelle Situation
Die gestohlenen ETH befinden sich derzeit auf zwei Ethereum-Adressen: die Wallet 0xbed2...dE25 hält 3,3 Millionen Dollar und die Wallet 0x573d...910e enthält 880.000 Dollar.
Makina hat den Sicherheitsmodus für alle seine Smart Contracts aktiviert und den Liquiditätsanbietern des DUSD-Pools auf Curve geraten, die verbleibenden Gelder abzuziehen.
Die Plattform hat bestätigt, dass der Exploit nur die Positionen der Liquiditätsanbieter DUSD auf Curve betroffen hat, während andere Vermögenswerte und Bereitstellungen unverändert blieben.
Sicherheitsunternehmen wie PeckShield, ExVul und TenArmor haben die Benutzer aufgefordert, die Berechtigungen für Smart Contracts zu widerrufen und jegliche Interaktion mit den Verträgen von Makina bis zum Abschluss der Untersuchung zu vermeiden.
DeFi-Sicherheitskontext
Exploits über Flash-Darlehen bleiben häufig, trotz verstärkter Sicherheitsmaßnahmen, wobei die dezentrale Börse Bunni im Oktober 2025 8,4 Millionen Dollar verloren hat und Shibarium im September einem Angriff von 2,4 Millionen Dollar ausgesetzt war.
Dennoch zeigen die Daten von Chainalysis, dass die durch DeFi-Hacks verursachten Verluste im Jahr 2025 moderat geblieben sind, obwohl der gesamte gesperrte Wert 119 Milliarden Dollar erreicht hat, was einen Bruch mit den historischen Trends darstellt, bei denen Kapitalzuflüsse mit einem Anstieg der Angriffe einhergingen.
Der gesamte Diebstahl von Kryptowährungen erreichte 3,4 Milliarden Dollar im Jahr 2025, aber das Ziel der Angriffe verlagerte sich auf zentrale Plattformen und persönliche Wallets anstelle von DeFi-Protokollen.
Zu beachten: Russische Gesetzgeber schlagen strenge Strafen für das Mining vor: Einzelpersonen drohen Geldstrafen von 1.500 $, Unternehmen 100.000 $ und mehr.
