Протокол Makina DeFi постраждав від атаки з маніпуляцією оракулом вартістю 4,1 мільйона доларів

Серйозний порушення безпеки виявило вразливості в децентралізованих фінансових системах. Makina, інституційний рушій виконання DeFi, нещодавно стала жертвою скоординованого експлойту, який витягнув приблизно $4,13 мільйона з її пулу ліквідності DUSD/USDC на Curve. Атака демонструє, як складна маніпуляція ціновими фідами може скомпрометувати навіть усталені протоколи криптоекосистеми.

Як розгорнулася атака

Інцидент включав багатоступеневу технічну атаку, зосереджену на маніпуляції ціновим оракулом Makina. Згідно з дослідженнями безпеки як PeckShield, так і CertiK, зловмисник організував експлойт з точністю. Злочинець ініціював операцію, оформивши величезний флеш-кредит на суму 280 мільйонів USDC — незабезпечений механізм позики, який потрібно повернути в рамках однієї блокчейн-транзакції.

Маючи ці кошти, зловмисник розгорнув приблизно 170 мільйонів USDC для систематичного спотворення Makina MachineShareOracle, який слугує механізмом звітування цін для пулу ліквідності Curve. Тимчасово ввівши значний капітал у систему, зловмисник штучно завищив цінові сигнали, які оракул подає у смарт-контракти. Ця маніпуляція створила міраж сприятливих цінових умов.

Коли пул кривої почав покладатися на ці фальсифіковані цінові дані, нападник виконав фінальний етап атаки. Вони обміняли приблизно 110 мільйонів USDC на пул, який містив лише близько $5 мільйонів реальної ліквідності. Крайній дисбаланс між розміром свопу та доступною ліквідністю призвів до того, що пул майже був виснажений за одну транзакцію, при цьому зловмисник витягнув приблизно 1 299 ефірів у загальній вартості.

Вразливості Oracle та ризики протоколу

Ця атака підкреслює критичну слабкість децентралізованої фінансової інфраструктури: залежність від точних цінових сигналів. Makina, яка стартувала у лютому минулого року і керує загальною вартістю близько $100 мільйонів, заблокованою за даними DeFiLlama, покладається на свій оракул для підтримки довіри з постачальниками ліквідності. Коли такі системи стають мішенню для маніпуляцій, наслідки поширюються по всій екосистемі.

Флеш-позики, хоча й є легітимними DeFi-інструментами для арбітражу та ліквідації, можуть бути використані як зброя у поєднанні з вразливостями оракула. Використання зловмисником незабезпечених позик надало безризиковий спосіб вливання капіталу та спотворення цінових сигналів — поєднання, яке виявилося руйнівним у цьому випадку.

Реакція та вплив Макіни

Команда Makina швидко підтвердила, що витік був ізольований у пулі кривої DUSD і не порушив ширшу інфраструктуру протоколу. У заяві, опублікованій на X, проєкт закликав постачальників ліквідності негайно вивести свої кошти з постраждалого пулу, поки команда проводить комплексне розслідування.

Інцидент породжує ширші питання про те, як DeFi-протоколи можуть краще захистити свої оракулні механізми та чи достатні чинні запобіжники проти рішучих зловмисників. Постачальники ліквідності, які довірили свої активи Makina, тепер стикаються з перспективою відновлення після цієї невдачі, тоді як сам протокол повинен впровадити жорсткіші заходи безпеки, перш ніж відновити довіру до своїх систем.

Ринковий контекст

Експлойт стався у період волатильності цифрових активів. Біткойн торгувався близько $84,650, тоді як ширші ринкові рухи відображали значну невизначеність. Цей інцидент нагадує, що безпека залишається найважливішою в децентралізованих фінансах, і протоколи повинні постійно вдосконалювати захист від дедалі складніших векторів атак.