📌 Система подверглась уязвимости на $4,13 млн. Бассейн CurveStable DUSD/USDC опустошен – Cryptopolitan
– В этой публикации:
Протокол Makina Finance стал жертвой атаки на сумму $4,13 млн после того, как его пул DUSD/USDC на Curve был опустошен в результате эксплойта с использованием оракула.
Специалисты по безопасности детально описывают, как флэш-кредиты, манипуляции с ценами и извлечение MEV привели к хищению активов в блокчейне.
Makina приняла меры безопасности, в то время как аналитики следят за выводом ETH через два ключевых кошелька.
Makina, самоисполняющийся децентрализованный финансовый протокол, подвергся взлому рано утром во вторник, что привело к опустошению его пула ликвидности DUSD/USDC на Curve, по данным компании по безопасности блокчейна PeckShield.
Сообщается, что Makina Finance потеряла порядка 1,299 ETH из своего пула стейблкоинов на Curve, что на тот момент оценивалось приблизительно в $4,13 млн. Согласно разбору Peckshield, злоумышленники скомпрометировали протокол не требующих кастодиальных услуг поставщиков ликвидности в пуле CurveStable DUSD/USDC, который полагается на оракул для предоставления ценовых данных в сети.
Оракулы поставляют смарт-контрактам внешнюю информацию, например, стоимость активов, которую хакеры использовали в середине транзакции для вывода токенов по искусственно выгодному курсу.
По словам инженера по безопасности из CertiK, злоумышленник инициировал операцию, заимствовав 280 миллионов USDC без обеспечения, с обязательством вернуть средства в той же транзакции.
Из заимствованной суммы около 170 миллионов USDC было задействовано для влияния на работу MachineShareOracle, отвечающего за подачу данных о цене актива в пул. После вливания средств, полученных через флэш-кредит, им удалось временно исказить ценовые данные оракула и заставить его принять неверную информацию о стоимости.
Еще один взлом сегодня (4,1 млн):
Flashloan с возможностью обновления AUM (активы под управлением) опасное сочетание.
Когда оракул начал показывать завышенные значения, атакующий обменял примерно 110 миллионов USDC в пуле, содержащем всего около 5 миллионов долларов ликвидности. Поскольку пул ошибочно считал активы более дорогими, он произвел выплату, значительно превышающую должное, тем самым истощив свои резервы.
Цены активов, предоставляемые оракулом, были скорректированы в середине транзакции, что позволило пулу Curve осуществить выплаты по завышенной ставке. Из пула DUSD/USDC ушло около 5,1 млн USDC, атакующий получил приблизительно 4,1 млн, сообщил инженер по безопасности.
Makina Finance была запущена в феврале прошлого года, позиционируясь как механизм исполнения институционального уровня в DeFi. Согласно данным DeFiLlama, в протоколе заблокировано около $100,49 млн.
Хакер изъял полученные DUSD и конвертировал их в ETH, совершив серию транзакций для консолидации и перераспределения активов. Однако, по данным CertiK, часть транзакции взлома была инициирована MEV-строителем.
Максимально извлекаемая ценность (MEV) это прибыль, которую могут получить как строители блоков, так и валидаторы путем переупорядочивания, добавления и цензурирования транзакций до их обработки в сети. В данном случае основную выгоду получил MEV-субъект, идентифицируемый по префиксу адреса 0xa6c2.
По оценкам CertiK, MEV-строитель завладел приблизительно $4,14 млн из $5 млн, выведенных им из пула стейблкоинов.
MEV-роутер разделил оставшиеся эфиры между двумя адресами: на первом (0xbed) находилось ETH на сумму около $3,3 млн, а на втором (0x573d) порядка 276 ETH.