Compass Investments

-Dans ce post : Makina Finance Protocol a été victime d’une attaque de 4,13 millions de dollars après que son pool DUSD/USDC sur Curve a été vidé par un exploit d’Oracle.

Les experts en sécurité expliquent en détail comment les prêts éclair, la manipulation des prix et l’extraction de MEV ont conduit au vol d’actifs sur la blockchain.

Makina a pris des mesures de sécurité tandis que les analystes surveillent les retraits d’ETH par le biais de deux portefeuilles clés.

Makina, un protocole financier décentralisé auto-exécutant, a été piraté tôt mardi matin, vidant son pool de liquidités DUSD/USDC sur Curve, selon la société de sécurité blockchain PeckShield.

Makina Finance aurait perdu environ 1 299 ETH de son pool de stablecoins sur Curve, qui était évalué à environ 4,13 millions de dollars à l’époque. Selon l’analyse de Peckshield, les attaquants ont compromis le protocole des fournisseurs de liquidités non conservateurs dans le pool CurveStable DUSD/USDC, qui s’appuie sur l’oracle pour fournir des données de tarification sur le réseau.

Les oracles fournissent aux contrats intelligents des informations externes, telles que la valeur des actifs, que les pirates ont utilisées en milieu de transaction pour retirer des jetons à un taux artificiellement favorable.

Selon un ingénieur en sécurité de CertiK, le pirate a initié la transaction en empruntant 280 millions d’USDC sans garantie, avec l’obligation de restituer les fonds au cours de la même transaction.

Sur le montant emprunté, environ 170 millions d’USD ont été utilisés pour influencer le fonctionnement de MachineShareOracle, qui est responsable de l’alimentation du pool en données sur le prix des actifs. Après avoir injecté des fonds obtenus par le biais d’un prêt éclair, ils ont été en mesure de fausser temporairement les données de prix de l’oracle et de le forcer à accepter des informations de valeur incorrectes.

Un autre piratage aujourd’hui (4,1 millions):

Un prêt flash avec la possibilité de mettre à jour les actifs sous gestion (AUM) est une combinaison dangereuse.

Lorsque l’oracle a commencé à afficher des valeurs gonflées, l’attaquant a échangé environ 110 millions d’USDC dans un pool ne contenant que 5 millions de dollars de liquidités. Comme le pool pensait à tort que les actifs étaient plus chers, il a effectué un paiement bien supérieur à ce qu’il aurait dû, épuisant ainsi ses réserves.

Les prix des actifs fournis par l’oracle ont été ajustés au milieu de la transaction, ce qui a permis au pool Curve d’effectuer un paiement à un taux excessif. Environ 5,1 millions d’USDC ont quitté le pool DUSD/USDC, tandis que l’attaquant a reçu environ 4,1 millions, a déclaré l’ingénieur en sécurité.

Makina Finance a été lancée en février de l’année dernière, se positionnant comme un moteur d’exécution au niveau institutionnel dans DeFi. Selon DeFiLlama, environ 100,49 millions de dollars ont été bloqués dans le protocole.

Le pirate s’est emparé du DUSD reçu et l’a converti en ETH, effectuant une série de transactions pour consolider et redistribuer les actifs. Cependant, selon CertiK, une partie de la transaction de piratage a été initiée par un constructeur MEV.

La valeur maximale extractible (MEV) est le profit que les constructeurs de blockchain et les validateurs peuvent réaliser en réorganisant, en ajoutant et en censurant des transactions avant qu’elles ne soient traitées sur le réseau. Dans le cas présent, l’entité MEV identifiée par le préfixe d’adresse 0xa6c2 a tiré le plus grand profit de l’opération.

CertiK estime que le constructeur MEV s’est emparé d’environ 4,14 millions de dollars sur les 5 millions qu’il a retirés de la réserve de stablecoins.

Le routeur MEV a réparti l’éther restant entre deux adresses : la première (0xbed) contenait environ 3,3 millions de dollars d’ETH, tandis que la seconde (0x573d) contenait environ 276 ETH.