Ethereum、DeFiプラットフォームMakina Financeは、ハッカーがCurve FinanceでホストされているDUSD-USDC流動性プールの価格オラクルを操作した後、約410万ドル相当の1,299ETHを失いました。
MEVビルダーが攻撃をフロントランし、盗まれた資金の大部分を捕らえたため、2025年2月に開始されたこの利回り管理プロトコルの回収努力が複雑化しました。
ブロックチェーンセキュリティ会社PeckShieldは、攻撃者が盗まれたトークンを2つのウォレットにてETHに変換したことをUTC03:40:35に初めて検出しました。
何が起こったのか
攻撃者は、2億8,000万USDCのフラッシュローンを契約し、1億7,000万を使用して、安定コインプールの価格を決定するMachineShareOracleを操作しました。
攻撃者はプールの価格を人工的に引き上げた後、操作されたプールから1億1,000万USDCを交換し、1,299ETHを引き出してフラッシュローンを返済しました。
PeckShieldは、攻撃が価格操作の脆弱性を利用しており、攻撃者が価格を引き上げる前に流動性を追加し、その後利益と共に引き出したことを確認しました。
ただし、0xa6c2で始まるMEVビルダーのアドレスがトランザクションをフロントランし、プールを空にし、約414万ドルの盗まれた資金を捕らえました。
次に読むべき記事:日本の債券利回りが数十年ぶりの高水準に達し、世界の暗号流動性を脅かす
現在の状況
盗まれたETHは現在、2つのEthereumアドレスにあります:ウォレット0xbed2...dE25が330万ドルを保有し、ウォレット0x573d...910eが88万ドルを含んでいます。
Makinaはすべてのスマートコントラクトでセキュリティモードを有効にし、CurveのDUSDプールの流動性提供者に残りの資金を引き出すように勧告しました。
プラットフォームは、攻撃がCurveのDUSD流動性提供者のポジションにのみ影響を与え、他の資産とデプロイメントは変わらなかったことを確認しました。
PeckShield、ExVul、TenArmorなどのセキュリティ会社は、ユーザーにスマートコントラクトの権限を取り消し、調査結果が出るまでMakinaの契約との相互作用を避けるように促しました。
DeFiのセキュリティコンテキスト
フラッシュローンを介したエクスプロイトは、セキュリティが強化されているにもかかわらず頻繁に発生しており、分散型取引所Bunniは2025年10月に840万ドルを失い、Shibariumは2025年9月に240万ドルの攻撃を受けました。
しかし、Chainalysisのデータによれば、2025年を通じてDeFiに関連するハッキングによる損失は適度にとどまり、総ブロックされた価値が1,190億ドルに達したにもかかわらず、資本の流入は攻撃の増加を伴わないという歴史的傾向が崩れました。
2025年における暗号通貨の総盗難額は34億ドルに達しましたが、攻撃のターゲットはDeFiプロトコルではなく、集中型プラットフォームと個人ウォレットに移行しました。
次に読むべき記事:ロシアの議員が厳しいマイニング罰則を提案:個人は1,500ドルの罰金、企業は10万ドル以上
