Compass Investments

Crypto vs. Dollar

📌 Система подверглась уязвимости на $4,13 млн. Бассейн CurveStable DUSD/USDC опустошен – Cryptopolitan

Протокол Makina Finance стал жертвой атаки на сумму $4,13 млн после того, как его пул DUSD/USDC на Curve был опустошен в результате эксплойта с использованием оракула. . Eth

– В этой публикации:

Протокол Makina Finance стал жертвой атаки на сумму $4,13 млн после того, как его пул DUSD/USDC на Curve был опустошен в результате эксплойта с использованием оракула.

Специалисты по безопасности детально описывают, как флэш-кредиты, манипуляции с ценами и извлечение MEV привели к хищению активов в блокчейне.

Makina приняла меры безопасности, в то время как аналитики следят за выводом ETH через два ключевых кошелька.

Makina, самоисполняющийся децентрализованный финансовый протокол, подвергся взлому рано утром во вторник, что привело к опустошению его пула ликвидности DUSD/USDC на Curve, по данным компании по безопасности блокчейна PeckShield.

Сообщается, что Makina Finance потеряла порядка 1,299 ETH из своего пула стейблкоинов на Curve, что на тот момент оценивалось приблизительно в $4,13 млн. Согласно разбору Peckshield, злоумышленники скомпрометировали протокол не требующих кастодиальных услуг поставщиков ликвидности в пуле CurveStable DUSD/USDC, который полагается на оракул для предоставления ценовых данных в сети.

Оракулы поставляют смарт-контрактам внешнюю информацию, например, стоимость активов, которую хакеры использовали в середине транзакции для вывода токенов по искусственно выгодному курсу.

По словам инженера по безопасности из CertiK, злоумышленник инициировал операцию, заимствовав 280 миллионов USDC без обеспечения, с обязательством вернуть средства в той же транзакции.

Из заимствованной суммы около 170 миллионов USDC было задействовано для влияния на работу MachineShareOracle, отвечающего за подачу данных о цене актива в пул. После вливания средств, полученных через флэш-кредит, им удалось временно исказить ценовые данные оракула и заставить его принять неверную информацию о стоимости.

Еще один взлом сегодня (4,1 млн):

Flashloan с возможностью обновления AUM (активы под управлением) опасное сочетание.

Когда оракул начал показывать завышенные значения, атакующий обменял примерно 110 миллионов USDC в пуле, содержащем всего около 5 миллионов долларов ликвидности. Поскольку пул ошибочно считал активы более дорогими, он произвел выплату, значительно превышающую должное, тем самым истощив свои резервы.

Цены активов, предоставляемые оракулом, были скорректированы в середине транзакции, что позволило пулу Curve осуществить выплаты по завышенной ставке. Из пула DUSD/USDC ушло около 5,1 млн USDC, атакующий получил приблизительно 4,1 млн, сообщил инженер по безопасности.

Makina Finance была запущена в феврале прошлого года, позиционируясь как механизм исполнения институционального уровня в DeFi. Согласно данным DeFiLlama, в протоколе заблокировано около $100,49 млн.

Хакер изъял полученные DUSD и конвертировал их в ETH, совершив серию транзакций для консолидации и перераспределения активов. Однако, по данным CertiK, часть транзакции взлома была инициирована MEV-строителем.

Максимально извлекаемая ценность (MEV) это прибыль, которую могут получить как строители блоков, так и валидаторы путем переупорядочивания, добавления и цензурирования транзакций до их обработки в сети. В данном случае основную выгоду получил MEV-субъект, идентифицируемый по префиксу адреса 0xa6c2.

По оценкам CertiK, MEV-строитель завладел приблизительно $4,14 млн из $5 млн, выведенных им из пула стейблкоинов.

MEV-роутер разделил оставшиеся эфиры между двумя адресами: на первом (0xbed) находилось ETH на сумму около $3,3 млн, а на втором (0x573d) порядка 276 ETH.

Bitcoin

Bitcoin

$62,900.81

BTC -0.32%

Ethereum

Ethereum

$1,674.70

ETH 0.87%

Binance Coin

Binance Coin

$602.54

BNB 1.26%

XRP

XRP

$1.17

XRP 2.48%

Dogecoin

Dogecoin

$0.09

DOGE 0.96%

Cardano

Cardano

$0.17

ADA 3.37%

Solana

Solana

$66.55

SOL 1.48%