Протокол Makina DeFi пострадал от атаки Oracle Manipulation стоимостью 4,1 миллиона долларов

Серьёзное нарушение безопасности выявило уязвимости в децентрализованных финансовых системах. Makina, институциональный движок исполнения DeFi, недавно стал жертвой скоординированного эксплойта, в результате которого было выведено около 4,13 миллиона долларов из ликвидного пула DUSD/USDC на Curve. Атака демонстрирует, как сложная манипуляция ценовыми фидами может скомпрометировать даже хорошо устоявшиеся протоколы в криптоэкосистеме.

Как развернулась атака

Инцидент включал многоступенчатую техническую атаку, направленную на манипуляцию ценовым оракулом Makina. Согласно исследованиям безопасности как PeckShield, так и CertiK, злоумышленник точно организовал эксплойт. Злоумышленник инициировал операцию, оформив огромный флэш-кредит на сумму 280 миллионов USDC — необеспеченный механизм заимствования, который должен быть погашён в рамках одной блокчейн-транзакции.

Имея эти средства, злоумышленник вложил примерно 170 миллионов USDC для систематического искажения MachineShareOracle от Makina, который служит механизмом отчётности цен для пула ликвидности Curve. Временно вливая значительный капитал в систему, злоумышленник искусственно завышел ценовые сигналы, которые оракул подает в смарт-контракты. Эта манипуляция создала мираж благоприятных ценовых условий.

Как только пул кривой начал полагаться на эти фальсифицированные ценовые данные, злоумышленник выполнял финальный этап атаки. Они обменяли примерно 110 миллионов долларов долларов на пул, содержащий лишь около 5 миллионов долларов реальной ликвидности. Крайний дисбаланс между размером свопа и доступной ликвидностью привёл к тому, что пул был почти истощен за одну транзакцию, при этом злоумышленник извлекал примерно 1 299 эфиров в общей стоимости.

Уязвимости Oracle и риски протокола

Эта атака выявляет критическую слабость децентрализованной финансовой инфраструктуры: зависимость от точных ценовых сигналов. Makina, запущенная в феврале прошлого года и управляющая общей стоимостью около 100 миллионов долларов, заблокированной по данным DeFiLlama, полагается на свой оракул для поддержания доверия с поставщиками ликвидности. Когда такие системы становятся мишенью для манипуляций, последствия распространяются по всей экосистеме.

Флеш-займы, хотя и являются легитимными DeFi-инструментами для арбитража и ликвидации, могут быть использованы как оружие в сочетании с уязвимостями оракула. Использование злоумышленниками необеспеченных заимствований предоставило безрисковый способ вливания капитала и искажения ценовых сигналов — комбинация, которая в данном случае оказалась разрушительной.

Реакция и влияние Макины

Команда Makina быстро подтвердила, что взлома была связана с пулом DUSD Curve и не нанесла ущерба более широкой инфраструктуре протокола. В заявлении, опубликованном на X, проект призвал поставщиков ликвидности немедленно выводить свои средства из затронутого пула, пока команда проводит комплексное расследование.

Инцидент вызывает более широкие вопросы о том, как DeFi-протоколы могут лучше защищать свои оракульные механизмы и достаточно ли существующих мер защиты против решительных злоумышленников. Поставщики ликвидности, доверившие свои активы Makina, теперь сталкиваются с перспективой восстановления после этого удара, в то время как сам протокол должен внедрить более жёсткие меры безопасности перед восстановлением доверия к своим системам.

Рыночный контекст

Эксплойт произошёл в период волатильности цифровых активов. Биткоин торговался около $84 650, в то время как более широкие рыночные движения отражали значительную неопределённость. Этот инцидент напоминает, что безопасность остаётся первостепенной в децентрализованных финансах, и протоколы должны постоянно совершенствовать свои средства защиты от всё более сложных векторов атак.