Манипуляция оракулом: протокол Makina Finance потерял около $5 млн

Децентрализованная платформа Makina Finance, позиционирующая себя как движок для институциональных DeFi-стратегий, стала жертвой хакерской атаки. По данным аналитиков CertiK, злоумышленникам удалось вывести около $5 млн из одного из ключевых пулов ликвидности.

Механика атаки: флэш-кредит и «отравленный» оракул

Взлом стал возможен благодаря классической, но масштабной схеме манипуляции ценовыми данными:

• Инструмент: Хакер задействовал мгновенный кредит (flash loan) на огромную сумму — 280 млн USDC.
• Цель: Эти средства были использованы для искусственного искажения котировок в оракуле MachineShareOracle.
• Результат: Протокол, опираясь на неверные данные, позволил злоумышленнику опустошить пул DUSD/USDC на бирже Curve.

Интересно, что значительную часть украденного — порядка $4,14 млн — успел перехватить MEV-бот (билдер), опередив хакера в транзакционной очереди.

Реакция команды и масштаб ущерба

Разработчики Makina Finance подтвердили инцидент, заявив о введении «режима безопасности» для всех своих инструментов. Они настоятельно рекомендовали поставщикам ликвидности немедленно вывести средства из пула DUSD на Curve.

На момент взлома общий объем заблокированных средств (TVL) в Makina составлял $100 млн. Оценки потерь разнятся: GoPlus Security оценивает ущерб в $5,1 млн, тогда как PeckShield сообщает о потере 1299 ETH (около $4,1 млн).

Безопасность в коде: панацея или лишние расходы?

На фоне инцидента в экспертном сообществе возобновилась дискуссия о том, как предотвратить подобные кражи (всего за 2025 год хакеры вывели из DeFi-проектов более $649 млн).

Новый стандарт защиты (Invariant Checks): Исследователи из a16z crypto призывают внедрять проверку инвариантов — жестких правил, прописанных в коде. Если транзакция нарушает логику «корректного поведения» (например, вызывает аномальный скачок цены), система должна автоматически ее аннулировать.

Аргументы «против» и сложности:

1. Стоимость газа: В Immunefi отмечают, что дополнительные проверки в коде сделают транзакции дороже, что может отпугнуть рядовых пользователей.
2. Сложность настройки: Эксперты Asymmetric Research подчеркивают, что создать идеальный «предохранитель», учитывающий все векторы атак, крайне трудно.
3. Неполная защита: Часто такие меры лишь сигнализируют о взломе или ограничивают его масштаб, но не останавливают профессионального хакера полностью.

Несмотря на споры, такие проекты, как Kamino (Solana) и XRP Ledger, уже используют подобные методы для защиты своих систем от неизвестных багов.