DeFi-протокол Makina Finance взломали на $5 млн 

Хакеры взломали децентрализованный проект Makina Finance. Из одного стейблкоин-пула они вывели около $5 млн, сообщили в CertiK. 

Атака стала возможной благодаря манипуляции оракулом. Используя флэш-кредит в 280 млн USDC, злоумышленник искусственно изменил ценовые данные в MachineShareOracle, на которые опирался протокол.

В итоге пострадал пул DUSD/USDC на площадке Curve, из которого киберпреступники вывели все средства. 

Большую часть похищенных активов ($4,14 млн) в итоге перехватил MEV-билдер.

Разработчики Makina заявили, что «осведомлены о потенциальном инциденте» и проводят проверку. По их словам, проблема коснулась только позиций поставщиков ликвидности DUSD в Curve. 

Ущерб они не уточнили.

Специалисты GoPlus Security оценили потери в $5,1 млн, а в PeckShield сообщили о краже 1299 ETH ($4,1 млн). 

Makina Finance представляет собой движок для исполнения DeFi-стратегий, запущенный в феврале 2025 года. Протокол заявляет о предоставлении институциональных стратегических хранилищ. 

На момент инцидента TVL площадки составлял $100 млн. 

Новый подход 

Старший исследователь безопасности a16z crypto Дэджун Пак призвал сектор DeFi встраивать защиту непосредственно в код. 

Основой сдвига должно стать использование стандартизованных спецификаций, которые ограничивают допустимые действия протокола и автоматически откатывают любую транзакцию, нарушающую заранее определенные предположения о «корректном поведении».

Актуальность предложения подчеркивает статистика взломов: по данным SlowMist, в 2025 году хакеры похитили через уязвимости в коде более $649 млн. Даже проверенные временем протоколы вроде Balancer теряли сотни миллионов долларов. 

Однако у такого подхода есть недостатки. Глава безопасности Immunefi Гонсалу Магальяйнш отметил в комментарии DL News, что дополнительные проверки увеличат стоимость газа — это может отпугнуть пользователей, которые ищут низкие комиссии. 

По его словам, проверки инвариантов — отличная стратегия, но не «серебряная пуля», так как они не могут учесть непредвиденные векторы атак.

Другая проблема — сложность корректной настройки таких защит. Сооснователь Asymmetric Research Феликс Вильгельм подчеркнул, что создать эффективный инвариант на практике крайне трудно. 

Такие проверки также часто только ограничивают ущерб или служат сигналом для команды, но не останавливают взлом полностью. 

Несмотря на барьеры, некоторые протоколы уже внедрили эту практику. Кредитный Solana-протокол Kamino и разработчики XRP Ledger используют проверки инвариантов для обеспечения целостности своих сложных систем и защиты от еще не обнаруженных багов.

Напомним, CEO Immunefi Митчелл Амадор пришел к выводу, что почти 80% криптовалютных проектов прекращают существование после крупных атак.