Makina、DUSD/USDC Curveプールで413万ドルの攻撃被害

ブロックチェーンセキュリティ企業PeckShieldによると、自動実行機能を持つ分散型金融プロトコルMakinaは、火曜日早朝にCurve上のDUSD/USDC流動性プールが枯渇する攻撃を受けた。 

Makina Financeは、Curveステーブルコインプールからハッカーに約1,299イーサリアムを失ったと報じられている。当時の価値は約413万ドルだった。Peckshieldの分析によると、攻撃者はオンチェーン価格データフィードオラクルを使用するDUSD/USDC CurveStableプール上のプロトコルの非カストディアル流動性提供者を侵害した。 

オラクルは資産価格などの外部情報をスマートコントラクトに提供するが、ハッカーは取引の途中でこれを悪用し、人為的に有利なレートでトークンを引き出した。

Makinaハッカーはフラッシュローンを使って500万ドルを奪取

CertiKのセキュリティエンジニアによると、犯人は担保なしで2億8,000万USDCを借入することから始め、同一取引内で資金を返済するという条件だった。

借入額のうち、約1億7,000万USDCがMachineShareOracleに干渉するために使用された。これはプールにシェア価格を報告する役割を担っている。フラッシュローンで借りた資金を注入した後、彼らはオラクルの価格データを一時的に歪め、不正確な価格情報を信頼させることに成功した。

オラクルが膨らんだ価値を報告し始めると、攻撃者は約1億1,000万USDCを、わずか約500万ドルの流動性しか持たないプールに対してスワップした。プールは資産が実際よりも価値があると信じていたため、本来よりもはるかに多くを支払い、空になってしまった。 

「シェア価格オラクルが取引の途中でプッシュされ、Curveプールが膨らんだレートで支払いを行った。DUSD/USDCプールから約510万USDCが流出し、攻撃者は約410万ドルの利益を得た」とセキュリティエンジニアは述べた。

Makina Financeは昨年2月に立ち上げられ、機関投資家グレードの分散型金融実行エンジンとして自らを売り込んでいた。DeFiLlamaのデータによると、プロトコルは約1億49万ドルのトータルバリューロックを保有している。 

MEVビルダーがMakina攻撃の数字を80万ドル削減

ハッカーはDUSDの収益をイーサリアムにスワップし、資産を統合・再配置するために複数の取引を実行した。しかし、CertiKによると、攻撃取引はMEVビルダーによって部分的にフロントランされた。 

最大抽出可能価値とは、ブロックビルダーとバリデーターがオンチェーンで処理される前に取引を並べ替え、注入、検閲することで最大化できる利益である。このケースでは、アドレスプレフィックス0xa6c2で識別されるMEVエンティティが、攻撃が展開される中で価値の大部分を獲得した。 

CertiKは、MEVビルダーがステーブルコインプールから引き出した500万ドルのうち、約414万ドルを押収したと推定している。

MEVルーティングは残りのイーサリアムを2つのアドレスに分割した。最初のアドレス(0xbed)には330万ドル相当のETHが保持され、もう一方のアドレス(0x573d)には約276 ETHが保持された。

火曜日の協定世界時6:42頃、Makina FinanceはX上で声明を発表し、ハッキングを認めたが、問題はプロトコル全体のインフラには影響しなかったと主張した。

Makinaはまた、DUSD Curveプールの流動性提供者に対し、「影響を受けたユーザーとLPのための適切な次のステップ」を決定する間、流動性を削除するよう求めた。チームはまた、インシデントレビューが完了次第、コミュニティにさらなる最新情報を提供することを約束した。

分散型金融プロトコルのフラッシュローン攻撃は、30億ドル以上が市場から盗まれた恐ろしい2025年の後、暗号資産ユーザーが無傷で乗り越えられることを望んでいた年に暗雲を投げかけている。 

CyversによるWeb3セキュリティおよび詐欺レポートは、昨年108件の詐欺およびセキュリティ関連インシデントを記録し、少なくとも140の取引所と取引プラットフォームから約160億ドルの暗号資産が詐取された。

Cyversはまた、78万のアドレスから420万件以上の不正取引と、USDT、ETH、USDCなどの資産を含む約19,000の活発な詐欺ネットワークを報告した。

これを読んでいるあなたは、すでに一歩先を行っています。私たちのニュースレターでそのまま先を行き続けましょう。