Хакеры взломали децентрализованный проект Makina Finance. Из одного стейблкоин-пула они вывели около $5 млн, сообщили в CertiK.
Атака стала возможной благодаря манипуляции оракулом. Используя флэш-кредит в 280 млн USDC, злоумышленник искусственно изменил ценовые данные в MachineShareOracle, на которые опирался протокол.
В итоге пострадал пул DUSD/USDC на площадке Curve, из которого киберпреступники вывели все средства.
Большую часть похищенных активов ($4,14 млн) в итоге перехватил MEV-билдер.
Разработчики Makina заявили, что «осведомлены о потенциальном инциденте» и проводят проверку. По их словам, проблема коснулась только позиций поставщиков ликвидности DUSD в Curve.
«В качестве меры предосторожности во всех Machines активирован режим безопасности, пока мы продолжаем оценивать ситуацию. Мы настоятельно советуем поставщикам ликвидности в пуле DUSD Curve вывести свои средства», — написала команда.
Ущерб они не уточнили.
Специалисты GoPlus Security оценили потери в $5,1 млн, а в PeckShield сообщили о краже 1299 ETH ($4,1 млн).
Makina Finance представляет собой движок для исполнения DeFi-стратегий, запущенный в феврале 2025 года. Протокол заявляет о предоставлении институциональных стратегических хранилищ.
На момент инцидента TVL площадки составлял $100 млн.
Новый подход
Старший исследователь безопасности a16z crypto Дэджун Пак призвал сектор DeFi встраивать защиту непосредственно в код.
Основой сдвига должно стать использование стандартизованных спецификаций, которые ограничивают допустимые действия протокола и автоматически откатывают любую транзакцию, нарушающую заранее определенные предположения о «корректном поведении».
«Почти каждая известная атака была бы пресечена на этапе исполнения такими проверками. Это означает переход от старой парадигмы „код — это закон“ к новой: „закон — это спецификация“», — подчеркнул эксперт.
Актуальность предложения подчеркивает статистика взломов: по данным SlowMist, в 2025 году хакеры похитили через уязвимости в коде более $649 млн. Даже проверенные временем протоколы вроде Balancer теряли сотни миллионов долларов.
Однако у такого подхода есть недостатки. Глава безопасности Immunefi Гонсалу Магальяйнш отметил в комментарии DL News, что дополнительные проверки увеличат стоимость газа — это может отпугнуть пользователей, которые ищут низкие комиссии.
По его словам, проверки инвариантов — отличная стратегия, но не «серебряная пуля», так как они не могут учесть непредвиденные векторы атак.
Другая проблема — сложность корректной настройки таких защит. Сооснователь Asymmetric Research Феликс Вильгельм подчеркнул, что создать эффективный инвариант на практике крайне трудно.
«Для многих уязвимостей и реальных атак непросто или даже невозможно разработать инвариант, который бы уверенно отлавливал взлом, при этом не блокируя легитимные операции в штатном режиме», — объяснил он.
Такие проверки также часто только ограничивают ущерб или служат сигналом для команды, но не останавливают взлом полностью.
Несмотря на барьеры, некоторые протоколы уже внедрили эту практику. Кредитный Solana-протокол Kamino и разработчики XRP Ledger используют проверки инвариантов для обеспечения целостности своих сложных систем и защиты от еще не обнаруженных багов.
Не является индивидуальной инвестиционной рекомендацией | При копировании ссылка обязательна | Нашли ошибку - выделить и нажать Ctrl+Enter | Жалоба