В результате взлома Makina было выведено 4,13 миллиона долларов, пул DUSD/USDC CurveStable опустошен

По данным компании PeckShield, занимающейся обеспечением безопасности блокчейна, рано утром во вторник в децентрализованном финансовом протоколе Makina с автоматическим исполнением ордеров произошла уязвимость, в результате которой был исчерпан пул ликвидности DUSD/USDC на платформе Curve. 

По сообщениям, компания Makina Finance потеряла около 1299 Ether из своего пула стейблкоинов Curve в результате действий хакеров. На тот момент их стоимость оценивалась примерно в 4,13 миллиона долларов. Согласно анализу Peckshield, злоумышленники взломали некастодиальные системы предоставления ликвидности протокола в пуле DUSD/USDC CurveStable, который использует оракул, предоставляющий данные о ценах в блокчейне. 

Оракулы предоставляют смарт-tracс внешней информацией, такой как цены активов, которую хакеры использовали в середине транзакции и выводили токены по искусственно завышенному курсу.

Хакер из Makina использовал мгновенные кредиты, чтобы украсть 5 миллионов долларов

По словам инженера по безопасности из компании CertiK, злоумышленник начал с того, что взял в долг 280 миллионов USDC без предварительного залога, с условием, что средства будут возвращены в рамках той же транзакции.

Из заемных средств около 170 миллионов USDC было использовано для вмешательства в работу MachineShareOracle, системы, отвечающей за предоставление информации о ценах акций пулу. После вливания капитала, заимствованного через мгновенный кредит, им удалось временно исказить данные о ценах оракула и обманом заставить его доверять неточной информации о ценах.

🚨 Еще одна уязвимость сегодня (4,1 млн):

Flashloan + обновление AUM без необходимости получения разрешений — опасная комбинация.

В середине транзакции был активирован оракул, определяющий цену акций, что позволило пулу Curve выплатить средства по завышенной ставке. Из пула DUSD/USDC вышло около 5,1 млн USDC, злоумышленник получил прибыль в размере около 4,1 млн USDC. pic.twitter.com/t4RKYoUWDl

— n0b0dy (@nn0b0dyyy) 20 января 2026 г.

Когда оракул начал сообщать завышенные значения, злоумышленник обменял примерно 110 миллионов USDC на пул, ликвидность которого составляла всего около 5 миллионов долларов. Поскольку пул считал, что активы стоят больше, чем на самом деле, он выплатил гораздо больше, чем должен был, и опустошил себя. 

«В середине транзакции был активирован оракул, определяющий цену акций, что позволило пулу Curve выплачивать средства по завышенной ставке. Из пула DUSD/USDC вышло около 5,1 млн USDC, злоумышленник получил прибыль в размере около 4,1 млн USDC», — заявил инженер по безопасности.

Makina Finance была запущена в феврале прошлого года, позиционируя себя как институциональный DeFi -движок для исполнения ордеров. Согласно данным DeFiLlama, протокол хранит в общей сложности около 100,49 миллионов долларов США заблокированной стоимости. 

Создатель MEV сократил суммы, полученные в результате использования уязвимости Makina, на 800 000 долларов

Хакер присвоил средства, полученные от операций с DUSD, и обменял их на эфир, совершив несколько транзакций для консолидации и перераспределения активов. Однако, по данным CertiK, часть транзакции, использованной для эксплуатации уязвимости, была проведена с помощью посредника, MEV-инвестиции . 

Максимальная стоимость таблицыtrac— это прибыль, которую могут максимизировать как строители блоков, так и валидаторы, переупорядочивая, внедряя и цензурируя транзакции до их обработки в блокчейне. В данном случае сущность MEV,dentпо префиксу адреса 0xa6c2, получила большую часть стоимости в процессе эксплуатации уязвимости. 

По оценкам CertiK, компания-разработчик MEV изъяла приблизительно 4,14 миллиона долларов из 5 миллионов долларов, которые она вывела из пула стейблкоинов.

Маршрутизация MEV разделила оставшийся эфир между двумя адресами: на первом (0xbed) хранилось 3,3 миллиона ETH на сумму $3,3 миллиона, а на втором (0x573d) — примерно 276 ETH.

Примерно в 6:42 утра по UTC во вторник компания Makina Finance опубликовала заявление на платформе X, в котором признала факт взлома, но настаивала на том, что проблема не затронула всю инфраструктуру протокола.

Гмак, сегодня рано утром мы получили сообщения об инцидентеdent пулом $DUSD Curve.

На данном этапе проблема, по всей видимости, затрагивает только позиции DUSD LP на платформе Curve. В настоящее время нет никаких признаков того, что затронуты другие активы или развертывания.

Базовые активы, находящиеся в…

– Макина (@makinafi) 20 января 2026 г.

Компания Makina также обратилась к поставщикам ликвидности в пуле DUSD Curve с просьбой вывести свою ликвидность, пока она определяет «надлежащие дальнейшие шаги для пострадавших пользователей и поставщиков ликвидности». Команда также пообещала предоставить сообществу дополнительные обновления, как только будет завершен анализdent .

Атака с использованием мгновенных займов в протоколе DeFi предвещает крах года, который, как надеялись пользователи криптовалют, пройдет без потерь после ужасного 2025 года, когда с рынка было украдено более 3 миллиардов долларов. 

В отчете компании Cyvers о безопасности и мошенничестве в сфере Web3 задокументировано 108 случаев мошенничества и инцидентов, связанных с безопасностью,dentоколо 16 миллиардов долларов в криптовалютных активах хищение как минимум со 140 бирж и торговых платформ.

Компания Cyvers также сообщила о более чем 4,2 миллионах мошеннических транзакций с 780 000 адресов и почти 19 000 активных мошеннических сетей, связанных с такими активами, как USDT, ETH и USDC.