Il 20 gennaio Makina Finance ha subito un exploit di prestito lampo, che ha comportato una perdita di 4,1 milioni di dollari.
L'aggressore ha sfruttato i bot MEV per anticipare le transazioni, il che gli ha consentito di drenare 1.299 ETH dal protocollo.
Dettagli della violazione
La società di sicurezza blockchain PeckShieldAlert ha riferito su X che Makina Finance è stata sfruttata per rubare circa 1.299 ETH, per un valore di circa 4,13 milioni di dollari. I dati on-chain mostrano che l'attaccante ha preso di mira il pool Stableswap Dialectic USD/USDC manipolandone il prezzo.
Secondo CertiKAlert, la violazione è iniziata con l'hacker che ha ottenuto un prestito flash di 280 milioni di USDC. Utilizzando 170 milioni di USDC, ha proceduto a manipolare MachineShareOracle, su cui il pool DUSD/USDC si basa per la determinazione dei prezzi. L'aggressore ha quindi scambiato 110 milioni di USDC tramite il pool, estraendone un valore di circa 5 milioni di dollari.
Un bot MEV, operante dall'indirizzo 0xa6c2, ha anticipato la transazione, eseguendo una serie di operazioni rapide che hanno prosciugato circa 1.299 ETH dal pool. I fondi rubati sono stati successivamente trasferiti a due indirizzi: 0xbed2 con circa 3,3 milioni di dollari e 0x573d con 880.000 dollari.
Da allora Makina Finance ha affrontato la situazione tramite i propri social media, affermando :
“Gmak, stamattina presto abbiamo ricevuto segnalazioni riguardanti un incidente con il pool Curve $DUSD.”
Il team dell'azienda ha chiarito che il problema è limitato alle sole posizioni del fornitore di liquidità DUSD su Curve, senza alcun segno che altri asset o distribuzioni siano interessati. Il team ha inoltre confermato la sicurezza degli asset sottostanti conservati nei dispositivi.
Per precauzione, è stata attivata la modalità di sicurezza su tutte le macchine mentre il team continua a valutare la situazione. Anche i fornitori di liquidità nel pool DUSD Curve sono stati invitati a ritirare i loro fondi.
Altrove, CyversAlerts ha segnalato transazioni sospette che coinvolgono SynapLogic su Base. I rapporti indicano che l'hacker è stato inizialmente finanziato tramite Tornado Cash su Ethereum, prima di trasferire fondi a Base tramite GasZip e in seguito ha acquisito circa 144.000 token SYP.
Tuttavia, SynapLogic ha successivamente confermato che il problema è stato completamente risolto, affermando che i suoi sistemi funzionano normalmente e che tutti i fondi degli utenti sono al sicuro.
Aggiornamento Truebit
L'episodio arriva appena una settimana dopo il primo importante hack DeFi del 2026. Il protocollo Truebit ha recentemente subito una violazione della sicurezza, con conseguente perdita di circa 26,5 milioni di dollari in ETH. Le indagini hanno scoperto che l'hacker aveva sfruttato una vulnerabilità nella logica di determinazione dei prezzi dello smart contract, che gli ha permesso di coniare token TRU a costo zero.
In seguito all'attacco, il team del progetto ha annunciato che stava indagando sulla situazione. Al momento della stesura di questo articolo, non è stato annunciato alcun piano di recupero ufficiale e i fondi compromessi rimangono on-chain.
Nel frattempo, aziende di sicurezza on-chain come SlowMist e Certik hanno pubblicato delle analisi autoptiche, avvertendo che le versioni obsolete di Solidity rimangono un rischio sistemico nella DeFi. La prima ha raccomandato di proteggere tali sistemi utilizzando la libreria SafeMath per prevenire le vulnerabilità logiche causate da overflow di interi.
Il post Makina Finance perde 4,13 milioni di dollari nell'exploit di prestiti flash su Curve Pool è apparso per la prima volta su CryptoPotato .