Makina sufre exploit de $4.13M en el pool DUSD/USDC de Curve

Makina, un protocolo de finanzas descentralizadas con ejecución automatizada, sufrió un exploit el martes por la madrugada que drenó su pool de liquidez DUSD/USDC en Curve, según la firma de seguridad blockchain PeckShield. 

Makina Finance habría perdido aproximadamente 1,299 Ether de su pool de stablecoin de Curve a manos de hackers. Tenía un valor de aproximadamente $4.13 millones en ese momento. Según el análisis de Peckshield, los atacantes vulneraron los proveedores de liquidez sin custodia del protocolo en el pool DUSD/USDC CurveStable, que utiliza un oráculo de feeds de datos de precios on-chain. 

Los oráculos proporcionan a los contratos inteligentes información externa, como los precios de activos, que los hackers explotaron a mitad de la transacción y retiraron los tokens a una tasa artificialmente favorable.

El hacker de Makina usó préstamos flash para robar $5 millones

Según un ingeniero de seguridad en CertiK, el perpetrador comenzó pidiendo prestado 280 millones de USDC sin garantía inicial, con la condición de que los fondos serían reembolsados en la misma transacción.

Del monto prestado, aproximadamente 170 millones de USDC se utilizaron para interferir con el MachineShareOracle, que es responsable de reportar los precios de las acciones al pool. Después de inyectar capital prestado mediante un préstamo flash, pudieron sesgar temporalmente los datos de precios del oráculo y engañarlo para que confiara en información de precios inexacta.

Cuando el oráculo comenzó a reportar valores inflados, el atacante intercambió aproximadamente 110 millones de USDC contra un pool que solo contenía alrededor de $5 millones en liquidez. Como el pool creía que los activos valían más de lo que realmente valían, pagó mucho más de lo que debía y se vació. 

"Se empujó un oráculo de precio de acciones a mitad de transacción, permitiendo que un pool de Curve pagara a una tasa inflada. ~5.1M USDC salieron del pool DUSD/USDC, el atacante obtuvo ganancias de aproximadamente 4.1M", dijo el ingeniero de seguridad.

Makina Finance se lanzó en febrero pasado, promocionándose como un motor de ejecución DeFi de grado institucional. Según datos de DeFiLlama, el protocolo mantiene aproximadamente $100.49 millones en valor total bloqueado. 

El constructor MEV redujo las cifras del exploit de Makina en $800k

El hacker tomó las ganancias de DUSD y las intercambió por ether, ejecutando varias transacciones para consolidar y reposicionar los activos. Sin embargo, según CertiK, la transacción del exploit fue parcialmente adelantada por un constructor MEV. 

El valor máximo extraíble es la ganancia que los constructores de bloques y validadores pueden maximizar al reordenar, inyectar y censurar transacciones antes de ser procesadas on-chain. En este caso, una entidad MEV identificada por el prefijo de dirección 0xa6c2 acumuló la mayoría del valor mientras se desarrollaba el exploit. 

CertiK estimó que el constructor MEV capturó aproximadamente $4.14 millones de los $5 millones que habían retirado del pool de stablecoin.

El enrutamiento MEV dividió el ether restante entre dos direcciones: la primera (0xbed) mantuvo $3.3 millones en ETH, y la otra (0x573d) mantuvo aproximadamente 276 ETH.

Alrededor de las 6:42 AM UTC del martes, Makina Finance escribió una declaración en X reconociendo el hackeo pero insistiendo en que el problema no afectó la infraestructura completa del protocolo.

Makina también pidió a los proveedores de liquidez en el pool DUSD de Curve que retiraran su liquidez mientras determina "los próximos pasos apropiados para los usuarios y LPs afectados". El equipo también prometió proporcionar a la comunidad más actualizaciones tan pronto como se complete la revisión del incidente.

El ataque de préstamo flash al protocolo DeFi augura un mal presagio para un año del que los usuarios de cripto esperaban salir ilesos, después de un terrible 2025 que vio más de $3 mil millones robados del mercado. 

Un Informe de Seguridad y Fraude Web3 de Cyvers documentó 108 incidentes relacionados con fraude y seguridad el año pasado, y aproximadamente $16 mil millones en activos cripto estafados de al menos 140 exchanges y plataformas de trading.

Cyvers también reportó más de 4.2 millones de transacciones fraudulentas de 780,000 direcciones y casi 19,000 redes de fraude activas, involucrando activos como USDT, ETH y USDC.

Si estás leyendo esto, ya estás adelante. Mantente ahí con nuestro boletín.