DeFi-протокол Makina Finance взломали на $5 млн 

Хакеры взломали децентрализованный проект Makina Finance. Из одного стейблкоин-пула они вывели около $5 млн, сообщили в CertiK. 

Атака стала возможной благодаря манипуляции оракулом. Используя флэш-кредит в 280 млн USDC, злоумышленник искусственно изменил ценовые данные в MachineShareOracle, на которые опирался протокол.

В итоге пострадал пул DUSD/USDC на площадке Curve, из которого киберпреступники вывели все средства. 

Большую часть похищенных активов ($4,14 млн) в итоге перехватил MEV-билдер.

Разработчики Makina заявили, что «осведомлены о потенциальном инциденте» и проводят проверку. По их словам, проблема коснулась только позиций поставщиков ликвидности DUSD в Curve. 

«В качестве меры предосторожности во всех Machines активирован режим безопасности, пока мы продолжаем оценивать ситуацию. Мы настоятельно советуем поставщикам ликвидности в пуле DUSD Curve вывести свои средства», — написала команда. 

Ущерб они не уточнили.

Специалисты GoPlus Security оценили потери в $5,1 млн, а в PeckShield сообщили о краже 1299 ETH ($4,1 млн). 

Makina Finance представляет собой движок для исполнения DeFi-стратегий, запущенный в феврале 2025 года. Протокол заявляет о предоставлении институциональных стратегических хранилищ. 

На момент инцидента TVL площадки составлял $100 млн. 

Новый подход 

Старший исследователь безопасности a16z crypto Дэджун Пак призвал сектор DeFi встраивать защиту непосредственно в код. 

Основой сдвига должно стать использование стандартизованных спецификаций, которые ограничивают допустимые действия протокола и автоматически откатывают любую транзакцию, нарушающую заранее определенные предположения о «корректном поведении».

«Почти каждая известная атака была бы пресечена на этапе исполнения такими проверками. Это означает переход от старой парадигмы „код — это закон“ к новой: „закон — это спецификация“», — подчеркнул эксперт.

Актуальность предложения подчеркивает статистика взломов: по данным SlowMist, в 2025 году хакеры похитили через уязвимости в коде более $649 млн. Даже проверенные временем протоколы вроде Balancer теряли сотни миллионов долларов. 

Однако у такого подхода есть недостатки. Глава безопасности Immunefi Гонсалу Магальяйнш отметил в комментарии DL News, что дополнительные проверки увеличат стоимость газа — это может отпугнуть пользователей, которые ищут низкие комиссии. 

По его словам, проверки инвариантов — отличная стратегия, но не «серебряная пуля», так как они не могут учесть непредвиденные векторы атак.

Другая проблема — сложность корректной настройки таких защит. Сооснователь Asymmetric Research Феликс Вильгельм подчеркнул, что создать эффективный инвариант на практике крайне трудно. 

«Для многих уязвимостей и реальных атак непросто или даже невозможно разработать инвариант, который бы уверенно отлавливал взлом, при этом не блокируя легитимные операции в штатном режиме», — объяснил он.

Такие проверки также часто только ограничивают ущерб или служат сигналом для команды, но не останавливают взлом полностью. 

Несмотря на барьеры, некоторые протоколы уже внедрили эту практику. Кредитный Solana-протокол Kamino и разработчики XRP Ledger используют проверки инвариантов для обеспечения целостности своих сложных систем и защиты от еще не обнаруженных багов.

Напомним, CEO Immunefi Митчелл Амадор пришел к выводу, что почти 80% криптовалютных проектов прекращают существование после крупных атак.