Ethereum, платформа DeFi Makina Finance, потеряла 1 299 ETH на сумму около 4,1 миллиона долларов 20 января после того, как хакеры манипулировали ценовыми оракулами на её пуле ликвидности DUSD-USDC, размещенном на Curve Finance.
MEV builder произвел фронтран атаки и захватил большинство украденных средств, усложнив усилия по восстановлению для этого протокола управления доходностью, запущенного в феврале 2025 года.
Компания по безопасности блокчейна PeckShield впервые обнаружила эксплойт в 03:40:35 UTC, атакующий конвертировал украденные токены в ETH на двух кошельках, которые в настоящее время удерживают активы.
Что произошло
Атакующий взял в долг флэш-кредит на 280 миллионов USDC, используя 170 миллионов для манипуляции MachineShareOracle, который определяет цены пула стейблкоинов Dialectic USD и Dialectic USDC.
После искусственного раздувания цен пула атакующий обменял 110 миллионов USDC на манипулированный пул, чтобы вывести 1 299 ETH, прежде чем вернуть флэш-кредит.
PeckShield подтвердил, что атака использовала уязвимость манипуляции ценами, автор добавляя ликвидность непосредственно перед раздуванием цен, а затем снимая её с прибылью.
Тем не менее, адрес MEV builder, начинающийся с 0xa6c2, произвел фронтран транзакцию, которая опустошила пул, захватив около 4,14 миллионов долларов из украденных средств.
К прочтению также: Японские доходности по облигациям достигли многодесятилетних максимумов, угрожая глобальной ликвидности криптовалют.
Текущая ситуация
Украденные ETH в настоящее время находятся на двух адресах Ethereum: кошелек 0xbed2...dE25, который содержит 3,3 миллиона долларов, и кошелек 0x573d...910e с 880 000 долларов.
Makina активировала режим безопасности на всех своих смарт-контрактах и посоветовала поставщикам ликвидности пула DUSD на Curve снять оставшиеся средства.
Платформа подтвердила, что эксплойт затронул только позиции поставщиков ликвидности DUSD на Curve, остальные активы и развертывания остались неизменными.
Безопасные компании, такие как PeckShield, ExVul и TenArmor, призвали пользователей отменить разрешения смарт-контрактов и избегать взаимодействия с контрактами Makina до получения результатов расследования.
Контекст безопасности DeFi
Эксплойты через флэш-кредиты остаются частыми, несмотря на усиление безопасности, децентрализованный обмен Bunni потерял 8,4 миллиона долларов в октябре 2025 года, а Shibarium подвергся атаке на 2,4 миллиона долларов в сентябре.
Тем не менее, данные Chainalysis показывают, что потери, связанные с хакерами DeFi, оставались умеренными на протяжении 2025 года, хотя общая заблокированная стоимость достигла 119 миллиардов долларов, что стало разрывом с историческими тенденциями, когда приток капитала сопровождался увеличением атак.
Общий объем украденных криптовалют достиг 3,4 миллиарда долларов в 2025 году, но целью атак стали централизованные платформы и личные кошельки, а не протоколы DeFi.
К прочтению далее: Российские законодатели предлагают суровые штрафы за майнинг: физические лица сталкиваются с штрафами в 1 500 долларов, компании — 100 000 долларов и более.
