Giao thức Makina DeFi bị tấn công thao túng Oracle trị giá 4,1 triệu USD

Một vi phạm bảo mật đáng kể đã làm lộ các lỗ hổng trong các hệ thống tài chính phi tập trung. Makina, một công cụ thực thi DeFi cấp tổ chức, gần đây đã trở thành nạn nhân của một vụ khai thác phối hợp đã rút cạn khoảng 4,13 triệu đô la từ nhóm thanh khoản DUSD/USDC trên Curve. Cuộc tấn công cho thấy thao túng nguồn cấp dữ liệu giá tinh vi có thể xâm phạm ngay cả các giao thức được thiết lập tốt trong hệ sinh thái tiền điện tử như thế nào.

Cuộc tấn công diễn ra như thế nào

Vụ việc liên quan đến một cuộc tấn công kỹ thuật nhiều bước tập trung vào việc thao túng oracle định giá của Makina. Theo nghiên cứu bảo mật từ cả PeckShield và CertiK, kẻ tấn công đã dàn dựng việc khai thác một cách chính xác. Thủ phạm đã bắt đầu hoạt động bằng cách thực hiện một khoản vay nhanh khổng lồ trị giá 280 triệu USDC - một cơ chế vay không thế chấp phải được hoàn trả trong một giao dịch blockchain duy nhất.

Với số tiền này trong tay, kẻ tấn công đã triển khai khoảng 170 triệu USDC để bóp méo một cách có hệ thống MachineShareOracle của Makina, đóng vai trò là cơ chế báo cáo giá cho nhóm thanh khoản Curve. Bằng cách bơm vốn đáng kể vào hệ thống tạm thời, kẻ tấn công đã thổi phồng giả tạo các tín hiệu giá mà oracle cung cấp cho các hợp đồng thông minh. Sự thao túng này đã tạo ra một ảo ảnh về các điều kiện định giá thuận lợi.

Khi nhóm Curve bắt đầu dựa vào những dữ liệu giá giả mạo này, kẻ tấn công đã thực hiện giai đoạn cuối cùng của cuộc tấn công. Họ đã hoán đổi khoảng 110 triệu USDC với một nhóm chỉ chứa khoảng 5 triệu đô la thanh khoản thực sự. Sự mất cân bằng cực độ giữa quy mô hoán đổi và thanh khoản có sẵn có nghĩa là nhóm gần như cạn kiệt trong một giao dịch duy nhất, với kẻ tấn công trích xuất khoảng 1.299 ether trong tổng giá trị.

Lỗ hổng Oracle và rủi ro giao thức

Cuộc tấn công này làm nổi bật một điểm yếu nghiêm trọng trong cơ sở hạ tầng tài chính phi tập trung: sự phụ thuộc vào nguồn cấp dữ liệu giá chính xác. Makina, ra mắt vào tháng 2 năm ngoái và quản lý khoảng 100 triệu đô la tổng giá trị bị khóa theo DeFiLlama, dựa vào oracle của mình để duy trì niềm tin với các nhà cung cấp thanh khoản. Khi các hệ thống như vậy trở thành mục tiêu để thao túng, hậu quả sẽ lan rộng qua toàn bộ hệ sinh thái.

Các khoản vay nhanh, trong khi các công cụ DeFi hợp pháp để kinh doanh chênh lệch giá và thanh lý, có thể được vũ khí hóa khi kết hợp với các lỗ hổng của oracle. Việc kẻ tấn công sử dụng khoản vay không thế chấp đã cung cấp một con đường không rủi ro để bơm vốn và bóp méo các tín hiệu định giá - một sự kết hợp đã được chứng minh là tàn phá trong trường hợp này.

Phản ứng và tác động của Makina

Nhóm Makina nhanh chóng xác nhận rằng vi phạm được cô lập với nhóm DUSD Curve và không ảnh hưởng đến cơ sở hạ tầng giao thức rộng lớn hơn. Thông qua một tuyên bố được đăng trên X, dự án đã kêu gọi các nhà cung cấp thanh khoản rút tiền của họ khỏi nhóm bị ảnh hưởng ngay lập tức trong khi nhóm tiến hành một cuộc điều tra toàn diện.

Vụ việc đặt ra câu hỏi rộng hơn về cách các giao thức DeFi có thể bảo vệ tốt hơn các cơ chế oracle của chúng và liệu các biện pháp bảo vệ hiện tại có đủ để chống lại những kẻ tấn công quyết tâm hay không. Các nhà cung cấp thanh khoản đã ủy thác tài sản của họ cho Makina hiện đang phải đối mặt với viễn cảnh phục hồi sau thất bại này, trong khi bản thân giao thức phải thực hiện các biện pháp bảo mật mạnh mẽ hơn trước khi khôi phục niềm tin vào hệ thống của mình.

Bối cảnh thị trường

Việc khai thác xảy ra trong thời kỳ biến động đối với tài sản kỹ thuật số. Bitcoin được giao dịch gần 84.650 đô la, trong khi các biến động thị trường rộng lớn hơn phản ánh sự không chắc chắn đáng kể. Vụ việc như một lời nhắc nhở rằng bảo mật vẫn là điều tối quan trọng trong tài chính phi tập trung và các giao thức phải liên tục phát triển khả năng phòng thủ của chúng chống lại các vectơ tấn công ngày càng tinh vi.