Makina Finance enregistre une perte de 4,13 millions de dollars à cause d'un exploit sur Curve Pool lié aux prêts flash
Chapo : Makina Finance a subi un exploit de prêt flash le 20 janvier, entraînant une perte de 4,1 millions de dollars après que l’attaquant ait drainé 1 299 ETH du protocole. Utilisant un prêt flash de 280 millions USDC, le pirate a manipulé un oracle pour extraire près de 5 millions de dollars. La société a rassuré ses utilisateurs en indiquant que seuls les actifs liés au pool DUSD étaient affectés.
Un pirate utilise un prêt flash pour exploiter Makina Finance
Le 20 janvier, Makina Finance a été victime d’un exploit majeur qui a coûté environ 4,1 millions de dollars à la plateforme. Selon PeckShieldAlert, l’attaquant a siphonné 1 299 ETH, équivalents à cette perte significative. En ciblant le pool Dialectic USD/USDC Stableswap, le pirate a manipulé les prix avec une stratégie astucieuse.
L'attaque a débuté par l'emprunt d'un prêt flash colossal de 280 millions USDC. Avec seulement 170 millions USDC, l'attaquant a procédé à la manipulation du MachineShareOracle qui sert à fixer les prix du pool DUSD/USDC. Après avoir orchestré ces transactions, il échangea ensuite 110 millions USDC, lui permettant ainsi d'extraire une valeur approximative de 5 millions de dollars.
Des robots MEV impliqués dans la transaction frauduleuse
Un robot MEV (Miner Extractable Value), utilisant l'adresse 0xa6c2, était au cœur des opérations frauduleuses. Ce robot exécuta rapidement plusieurs transactions visant à siphonner environ 1 299 ETH du pool visé. Les fonds volés ont ensuite été transférés vers deux adresses distinctes : 0xbed2 détenant environ 3,3 millions de dollars, et 0x573d conservant près de 880 000 dollars.
Makina Finance s’est exprimée sur les réseaux sociaux concernant cet incident choquant : « Gmak, tôt ce matin, nous avons reçu des rapports concernant un incident avec le pool $DUSD Curve ». L’équipe rassura également ses utilisateurs en précisant que seuls les actifs liés aux positions fournisseurs de liquidité DUSD sur Curve étaient concernés par cette attaque.
Précautions mises en place après l'incident
Pour sécuriser davantage son environnement opérationnel, Makina Finance a activé son mode sécurité sur toutes ses machines pendant qu'elle évalue la situation actuelle. Les fournisseurs de liquidités ont été invités à retirer leurs fonds du pool DUSD Curve en raison des circonstances critiques entourant cet exploit.
Parallèlement à cela, CyversAlerts a signalé des transactions suspectes liées à SynapLogic sur Base où des fonds avaient été initialement blanchis via Tornado Cash avant d’être transférés vers Base grâce à GasZip et acquérant ainsi environ 144 000 jetons SYP. Cependant, SynapLogic confirma plus tard que tous ses systèmes fonctionnaient normalement et que tous les fonds restaient sécurisés.
Rappel d’un autre piratage majeur dans DeFi
Ce nouvel exploit intervient juste après celui ayant touché Truebit qui avait causé une perte colossale estimée à environ 26,5 millions de dollars en ETH due à une faille dans la logique tarifaire d'un contrat intelligent permettant au hacker de créer illégalement des jetons TRU gratuitement.
Suite au piratage chez Truebit, l’équipe annonça qu’elle menait une enquête approfondie sans encore avoir dévoilé tout plan officiel pour relancer ou compenser les pertes subies par leurs utilisateurs jusqu’à présent.
Des sociétés spécialisées comme SlowMist et Certik ont mis en garde contre les risques associés aux versions obsolètes de Solidity utilisées dans DeFi et recommandent fortement leur mise à jour afin d'éviter toute vulnérabilité future liée aux dépassements d’entiers pouvant nuire gravement aux actifs numériques gérés par ces protocoles financiers décentralisés.
