Makina DeFi 協議遭到 410 萬美元的 Oracle 操控攻擊

一起重大安全漏洞暴露了去中心化金融系統的漏洞。Makina 是一個機構級 DeFi 執行引擎，最近遭遇了一場協調利用，從其 DUSD/USDC 流動性池中被 Curve 上抽走約 413 萬美元。這次攻擊顯示，複雜的價格來源操控甚至能危及加密生態系統中成熟的協議。

攻擊經過

此事件涉及多步驟技術攻擊，核心是操控Makina的定價預告。根據 PeckShield 與 CertiK 的安全研究，攻擊者精準策劃了這次漏洞利用。肇事者透過執行一筆龐大的2.8億美元閃電貸款——一種必須在單一區塊鏈交易內償還的無擔保借貸機制來啟動此行動。

利用這些資金，攻擊者動用約 1.7 億 USDC 系統性扭曲 Makina 的 MachineShareOracle，該 Oracle 作為 Curve 流動性池的價格報告機制。透過暫時注入大量資金，攻擊者人為膨脹了預言機提供給智能合約的價格訊號。這種操控創造出一幅有利價格條件的幻象。

當 Curve 池開始依賴這些偽造的價格數據時，攻擊者執行了攻擊的最後階段。他們用大約1.1億美元的資金池交換了約500萬美元的真實流動性。交換金額與可用流動性的極端不平衡，導致該池幾乎在單一交易中被耗盡，攻擊者共提取了約1,299個以太幣的價值。

Oracle 漏洞與協議風險

此攻擊凸顯去中心化金融基礎設施的一個關鍵弱點：對準確價格來源的依賴。Makina 於去年二月推出，根據 DeFillama，總鎖定價值約 1 億美元，依賴其 oracle 來維持與流動性供應商的信任。當這些系統成為操控的目標時，後果會波及整個生態系統。

閃電貸款雖然是合法的 DeFi 套利與清算工具，但結合 Oracle 漏洞時可被武器化。攻擊者利用無擔保借貸，提供了一條無風險的管道注入資金並扭曲價格訊號——這種組合在本案中造成了毀滅性的後果。

Makina 的回應與影響

Makina 團隊迅速確認，這次入侵僅限於 DUSD 曲線池，並未破壞更廣泛的協議基礎設施。該專案在 X 上發布聲明，敦促流動性提供者立即從受影響資金池中提取資金，等待團隊進行全面調查。

此事件引發更廣泛的疑問：DeFi 協議如何更好地保護其 Oracle 機制，以及現有的防護措施是否足以抵禦堅定的攻擊者。將資產託付給 Makina 的流動性提供者，現在面臨從這次挫折中復甦的前景，而協議本身也必須實施更強的安全措施，才能恢復對系統的信心。

市場背景

該漏洞利用發生在數位資產波動的時期。比特幣交易價格接近84,650美元，而更廣泛的市場走勢反映出顯著的不確定性。此事件提醒我們，去中心化金融中安全依然至關重要，協議必須持續演進防禦日益複雜的攻擊途徑。