Makina a été exploitée pour un montant de 4,13 millions de dollars, le pool CurveStable DUSD/USDC est vidé

Makina, un protocole de finance décentralisée à exécution automatisée, a subi une faille de sécurité tôt mardi matin qui a vidé son pool de liquidités DUSD/USDC sur Curve, selon la société de sécurité blockchain PeckShield. 

Makina Finance aurait perdu environ 1 299 ethers de son pool de stablecoin Curve suite à un piratage. Ce pool était alors valorisé à environ 4,13 millions de dollars. Selon l'analyse de Peckshield, les attaquants ont compromis les fournisseurs de liquidités non-custodiaux du protocole sur le pool CurveStable DUSD/USDC, qui utilise un oracle de données de prix intégré à la blockchain. 

Les oracles fournissenttracintelligents contenant des informations externes, telles que les prix des actifs, que les pirates ont exploitées en cours de transaction pour retirer les jetons à un taux artificiellement favorable.

Un pirate informatique de Makina a utilisé des prêts éclair pour dérober 5 millions de dollars

Selon un ingénieur en sécurité de CertiK, l'auteur des faits a commencé par emprunter 280 millions de dollars américains sans garantie initiale, à condition que les fonds soient remboursés lors de la même transaction.

Sur le montant emprunté, environ 170 millions de dollars américains ont servi à manipuler l'oracle MachineShare, chargé de communiquer les cours des parts au pool. Après avoir injecté des capitaux empruntés via un prêt éclair, ils ont pu fausser temporairement les données de prix de l'oracle et l'amener à se fier à des informations de prix erronées.

🚨 Nouvelle faille aujourd'hui (4,1M) :

Le prêt éclair combiné à un renouvellement des actifs sous gestion sans autorisation est une combinaison dangereuse.

Un oracle de prix a été activé en cours de transaction, permettant à un pool Curve de verser des gains à un taux gonflé. Environ 5,1 millions d'USDC ont quitté le pool DUSD/USDC, l'attaquant empochant environ 4,1 millions. pic.twitter.com/t4RKYoUWDl

— n0b0dy (@nn0b0dyyy) 20 janvier 2026

Lorsque l'oracle a commencé à afficher des valeurs surévaluées, l'attaquant a échangé environ 110 millions d'USDC contre un pool qui ne disposait que d'environ 5 millions de dollars de liquidités. Le pool, croyant que les actifs valaient plus que leur valeur réelle, a versé des sommes bien supérieures à ce qu'il aurait dû et s'est vidé. 

« Un oracle de prix a été activé en cours de transaction, permettant à un pool Curve de verser des paiements à un taux gonflé. Environ 5,1 millions d'USDC ont quitté le pool DUSD/USDC, l'attaquant empochant environ 4,1 millions de dollars », a déclaré l'ingénieur en sécurité.

Makina Finance a été lancé en février dernier et se présente comme un moteur d'exécution DeFi de niveau institutionnel. Selon les données de DeFiLlama, le protocole détient environ 100,49 millions de dollars de valeur totale bloquée. 

Le constructeur de véhicules électriques a réduit de 800 000 $ le nombre de vols commis à Makina

Le pirate a converti les gains en DUSD en ether, effectuant plusieurs transactions pour consolider et repositionner les actifs. Cependant, selon CertiK, la transaction d'exploitation a été partiellement anticipée par un MEV . 

La valeur maximale de la table d'traccorrespond au profit que les constructeurs de blocs et les validateurs peuvent maximiser en réorganisant, injectant et censurant des transactions avant leur traitement sur la blockchain. Dans ce cas précis, une entité MEVdentpar le préfixe d'adresse 0xa6c2 a accumulé la majeure partie de cette valeur lors de l'exploitation de la faille. 

CertiK a estimé que le constructeur de véhicules électriques a saisi environ 4,14 millions de dollars sur les 5 millions qu'il avait retirés du pool de stablecoins.

Le routage MEV a divisé l'ether restant entre deux adresses : la première (0xbed) contenait 3,3 millions de dollars en ETH, et l'autre (0x573d) contenait environ 276 ETH.

Mardi matin, vers 6h42 UTC, Makina Finance a publié un communiqué sur X reconnaissant le piratage, mais a insisté sur le fait que le problème n'affectait pas l'ensemble de l'infrastructure du protocole.

Gmak, tôt ce matin, nous avons reçu des informations concernant un incidentdent le $DUSD. pool Curve

À ce stade, le problème semble se limiter aux positions LP DUSD sur Curve. Rien n'indique pour l'instant que d'autres actifs ou déploiements soient affectés.

Actifs sous-jacents détenus en…

– Makina (@makinafi) 20 janvier 2026

Makina a également demandé aux fournisseurs de liquidités du pool DUSD Curve de retirer leurs liquidités le temps de déterminer « les prochaines étapes appropriées pour les utilisateurs et les fournisseurs de liquidités concernés ». L'équipe a également promis de fournir à la communauté davantage d'informations dès que l'enquête sur l'dent sera terminée.

L'attaque par prêts éclair contre le protocole DeFi présage un désastre pour une année que les utilisateurs de cryptomonnaies espéraient traverser indemnes, après une année 2025 catastrophique qui a vu plus de 3 milliards de dollars dérobés sur le marché. 

de fraude et de sécuritédentl'année dernière, et environ 16 milliards de dollars d'actifs cryptographiques ont été dérobés à au moins 140 plateformes d'échange et de trading.

Cyvers a également signalé plus de 4,2 millions de transactions frauduleuses provenant de 780 000 adresses et de près de 19 000 réseaux de fraude actifs, impliquant des actifs tels que l’USDT, l’ETH et l’USDC.