마키나는 413만 달러의 손실을 입었고, DUSD/USDC 커브스테이블 풀은 고갈되었습니다

자동 실행 기능을 갖춘 탈중앙화 금융 프로토콜인 마키나(Makina)가 화요일 새벽에 발생한 공격으로 커브(Curve) 플랫폼의 DUSD/USDC 유동성 풀이 고갈되었다고 블록체인 보안 회사인 펙쉴드(PeckShield)가 밝혔습니다. 

마키나 파이낸스(Makina Finance)가 해킹으로 커브(Curve) 스테이블코인 풀에서 약 1,299 이더(Ether)를 손실한 것으로 알려졌습니다. 당시 이더의 가치는 약 413만 달러였습니다. 펙쉴드(Peckshield)의 분석에 따르면, 공격자들은 온체인 가격 데이터 피드 오라클을 사용하는 DUSD/USDC 커브스테이블(CurveStable) 풀의 비수탁형 유동성 공급자를 침해했습니다. 

오라클은 자산 가격과 같은 외부 정보를 활용한 스마트trac을 제공하는데, 해커들은 이를 악용하여 거래 도중 인위적으로 유리한 가격으로 토큰을 인출했습니다.

마키나 해커, 단기 대출로 5백만 달러 횡령

의 보안 엔지니어에 따르면 CertiK, 범인은 선불 담보 없이 2억 8천만 달러 상당의 USDC를 빌리는 것으로 시작했으며, 해당 자금은 동일한 거래에서 상환될 것이라는 조건을 달았습니다.

빌린 금액 중 약 1억 7천만 달러(USDC)는 주식 가격을 풀에 보고하는 역할을 하는 머신쉐어오라클(MachineShareOracle)을 조작하는 데 사용되었습니다. 플래시론으로 빌린 자금을 투입한 후, 그들은 오라클의 가격 데이터를 일시적으로 왜곡하여 부정확한 가격 정보를 신뢰하도록 속일 수 있었습니다.

🚨 오늘 또 다른 해킹 사건이 발생했습니다 (410만 건):

플래시론과 무허가 자산운용 규모(AUM) 갱신은 위험한 조합입니다.

거래 도중 주가 오라클이 공격받아 Curve 풀에서 부풀려진 이율로 지급이 이루어졌습니다. 약 510만 USDC가 DUSD/USDC 풀에서 유출되었고, 공격자는 약 410만 USDC의 이익을 챙겼습니다. pic.twitter.com/t4RKYoUWDl

— n0b0dy (@nn0b0dyyy) 2026년 1월 20일

오라클이 부풀려진 가치를 보고하기 시작하자 공격자는 약 1억 1천만 USDC를 유동성이 약 5백만 달러에 불과한 풀에 교환했습니다. 해당 풀은 자산 가치가 실제보다 높다고 판단하여 실제보다 훨씬 많은 금액을 지급하고 풀을 비워버렸습니다. 

"주가 오라클이 거래 도중에 공격받아 Curve 풀에서 부풀려진 가격으로 지급이 이루어졌습니다. 약 510만 USDC가 DUSD/USDC 풀에서 빠져나갔고, 공격자는 약 410만 USDC의 이익을 얻었습니다."라고 보안 엔지니어는 말했습니다.

마키나 파이낸스는 지난 2월에 출시되었으며, 기관 투자자급 DeFi 실행 엔진이라고 자칭합니다. DeFiLlama의 데이터에 따르면, 이 프로토콜에는 약 1억 49만 달러의 총 예치 자산(TVL)이 있습니다. 

MEV 건설업체, 마키나 해킹 사건 관련 수치를 80만 달러 삭감

해커는 DUSD 수익금을 이더리움으로 교환하고, 여러 차례 거래를 통해 자산을 통합 및 재배치했습니다. 그러나 CertiK에 따르면, 해당 공격 거래는 MEV 빌더에 의해 부분적으로 선행매매되었습니다. 

최대trac테이블 값(MEV)은 블록 생성자와 검증자가 온체인에서 처리되기 전에 트랜잭션을 재정렬, 삽입 및 검열함으로써 극대화할 수 있는 이익입니다. 이 경우, 주소 접두사 0xa6c2로dent되는 MEV 주체가 공격이 진행되는 동안 해당 값의 대부분을 차지했습니다. 

CertiK는 MEV 건설업체가 스테이블코인 풀에서 인출한 5백만 달러 중 약 414만 달러를 잠식한 것으로 추산했습니다.

MEV 라우팅은 남은 이더리움을 두 주소로 나누었습니다. 첫 번째 주소(0xbed)에는 ​​330만 달러 상당의 ETH가, 두 번째 주소(0x573d)에는 약 276 ETH가 저장되었습니다.

화요일 오전 6시 42분(UTC)경, 마키나 파이낸스는 성명을 해킹 사실을 인정했지만, 해당 문제가 프로토콜 인프라 전체에 영향을 미치지는 않았다고 주장했습니다.

에 대한 보고를 받았습니다.dent 에서 $DUSD 커브 풀

현재로서는 이 문제는 Curve의 DUSD LP 포지션에만 국한된 것으로 보입니다. 다른 자산이나 투자에는 영향이 없다는 징후가 있습니다.

보유 자산은 다음과 같습니다…

— 마키나(@makinafi) 2026년 1월 20일

마키나는 또한 DUSD 커브 풀의 유동성 공급자들에게 "영향을 받는 사용자와 유동성 공급자를 위한 적절한 다음 단계"를 결정하는 동안 유동성을 제거해 줄 것을 요청했습니다. 팀은 또한dent 검토가 완료되는 대로 커뮤니티에 더 자세한 업데이트를 제공할 것이라고 약속했습니다.

탈 DeFi 프로토콜에 대한 플래시론 공격은 암호화폐 사용자들이 30억 달러 이상이 시장에서 도난당하는 끔찍한 한 해를 보낸 후, 아무런 피해 없이 지나가기를 바랐던 올해에 재앙을 예고하고 있습니다. 

Cyvers의 Web3 보안 및 사기 보고서에 따르면dent작년에 사기 피해를 입었습니다 최소 140개의 거래소 및 거래 플랫폼에서

Cyvers는 또한 USDT, ETH, USDC와 같은 자산을 대상으로 78만 개의 주소와 거의 1만 9천 개의 활성 사기 네트워크에서 420만 건 이상의 사기 거래가 발생했다고 보고했습니다.