Makina Finance: Взлом DeFi-протокола на $5 млн и новая угроза безопасности

Недобросовестные хакеры атаковали децентрализованный проект Makina Finance, выведя около $5 миллионов из одного из пулов стейблкоинов, как сообщила компания CertiK.

Атаке способствовало манипулирование оракулом. Злоумышленник использовал флэш-кредит в размере 280 миллионов USDC для искусственного изменения ценовых данных в MachineShareOracle, который использовался протоколом.

В результате данной атаки пул DUSD/USDC на платформе Curve оказался под угрозой, и из него были выведены все средства.

Большую часть похищенных активов, а именно $4,14 миллиона, удалось перехватить MEV-билдеру.

Разработчики Makina заявили о том, что они “осведомлены о возможном инциденте” и проводят расследование. По их словам, проблема затронула лишь позиции поставщиков ликвидности DUSD в Curve.

“В целях предосторожности мы активировали режим безопасности на всех Machines, пока продолжаем оценивать ситуацию. Рекомендуем поставщикам ликвидности в пуле DUSD Curve вывести свои средства,” — отметила команда.

Нанесенный ущерб не был конкретизирован.

Эксперты GoPlus Security оценили потери в $5,1 миллиона, в то время как PeckShield сообщили о краже 1299 ETH, что эквивалентно $4,1 миллиона.

Makina Finance представляет собой движок для реализации DeFi-стратегий и был запущен в феврале 2025 года. Протокол ориентирован на предоставление институциональных стратегий хранения.

На момент инцидента общий объем заблокированных средств (TVL) платформы составлял $100 миллионов.

Старший исследователь безопасности в a16z crypto Дэджун Пак призвал к тому, чтобы сектор DeFi встроил защиту непосредственно в код.

Он предложил использовать стандартизированные спецификации, позволяющие ограничивать допустимые действия протокола и автоматически откатывать транзакции, которые нарушают заранее заданные условия.

“Практически каждая известная атака могла бы быть предотвращена с помощью таких проверок на стадии выполнения. Это означает переход от устаревшей концепции ‘код — это закон’ к новой: ‘закон — это спецификация’,” — отметил эксперт.

Актуальность такого подхода подтверждается статистикой взломов: согласно данным SlowMist, в 2025 году хакеры похитили более $649 миллионов через уязвимости в коде. Даже известные протоколы, такие как Balancer, теряли сотни миллионов долларов.

Однако данный подход имеет и свои недостатки. Глава безопасности Immunefi Гонсалу Магальяйнш, комментируя ситуацию DL News, подчеркнул, что дополнительные проверки повысит стоимость газа, что может отпугнуть пользователей, стремящихся к ипотечным расходам.

По его мнению, проверки инвариантов — это хорошая стратегия, но не “серебряная пуля”, так как они не способны учесть непредвиденные векторы атак.

Другая проблема заключается в сложности правильной настройки подобных защит. Сооснователь Asymmetric Research Феликс Вильгельм отметил, что на практике создание эффективного инварианта является крайне сложной задачей.

“Для множества уязвимостей и реальных атак бывает непросто или даже невозможно разработать инвариант, который бы надежно предотвращал взлом, не блокируя легитимные операции,” — объяснил он.

Такие проверки часто лишь уменьшают ущерб или служат триггером для команды, но не способны полностью остановить взлом.

Несмотря на эти сложности, некоторые протоколы уже начали внедрять такие практики. Кредитный протокол на основе Solana Kamino и разработчики XRP Ledger применяют проверки инвариантов для обеспечения целостности своих сложных систем и защиты от новых багов.

Напомним, CEO Immunefi Митчелл Амадор подводя итоги, указал на то, что почти 80% криптовалютных проектов прекращают существование после крупных атак.