Một vụ vi phạm an ninh nghiêm trọng xảy ra tại Makina Finance: 5 triệu đô la bị rút sạch trong cuộc tấn công flash loan

Cointurk2026/01/20 10:38

Hiển thị bản gốc

Theo:Cointurk

Makina Finance, một nền tảng tài chính phi tập trung, gần đây đã đối mặt với một vụ vi phạm an ninh phức tạp liên quan đến hợp đồng thông minh. Công ty an ninh blockchain CertiK báo cáo rằng khoảng 5 triệu đô la đã bị rút khỏi một trong những pool stablecoin của nền tảng này. Cuộc tấn công, được thực hiện bằng cách thao túng oracle giá, đã sử dụng một khoản vay nhanh với khối lượng lớn. Sự cố này là một phần của xu hướng rộng hơn vào năm 2025, đánh dấu sự gia tăng các vi phạm an ninh tiền mã hóa.

Cơ chế tấn công tinh vi Phản ứng nhanh của Makina Finance

Cơ chế tấn công tinh vi

Theo CertiK, kẻ tấn công đã nhắm vào pool stablecoin DUSD/USDC Curve của Makina Finance. Hoạt động bắt đầu bằng một khoản vay nhanh 280 triệu USDC. Khoảng 170 triệu USDC đã được sử dụng để tạo ra sự mất cân đối tạm thời trong MachineShareOracle, vốn liên quan đến định giá của pool. Sau khi thao túng, kẻ tấn công đã trao đổi 110 triệu USDC còn lại trong pool lớn này, rút gần như toàn bộ tài sản của nó, trị giá khoảng 5 triệu đô la.

Các công ty bảo mật khác nhau đã báo cáo những ước tính khác nhau về thiệt hại tài chính của cuộc tấn công. GoPlus Security tính toán tổn thất khoảng 5,1 triệu đô la, trong khi PeckShield cho biết tài sản bị rút tương đương 4,13 triệu đô la bằng ETH. Một điểm quan trọng được nêu trong báo cáo của CertiK là sự can thiệp của một MEV builder trong quá trình giao dịch, đã chiếm đoạt một phần lớn số tiền. Khoảng 4,14 triệu đô la đã bị hạ tầng MEV thu giữ, vượt qua kẻ tấn công.

Makina Finance, thành lập vào tháng 2 năm 2025, cung cấp các vault chiến lược dành cho tổ chức và hoạt động như một công cụ thực thi DeFi. Theo DefiLlama, nền tảng này nắm giữ tổng giá trị tài sản khóa là 100,49 triệu đô la vào thời điểm xảy ra sự cố.

Phản ứng nhanh của Makina Finance

Sau vụ tấn công, Makina Finance không xác nhận ngay vi phạm qua các kênh chính thức. Thông báo đầu tiên xuất hiện trên máy chủ Discord của họ vào sáng thứ Ba, thừa nhận các cuộc thảo luận công khai trong khi đang xác minh chi tiết. Thông báo thứ hai, được gửi khoảng hai giờ sau đó, lưu ý rằng vấn đề dường như chỉ giới hạn ở các vị thế cung cấp thanh khoản DUSD trên Curve, đồng thời khuyến nghị các nhà cung cấp thanh khoản rút tiền. Tuy nhiên, không có xác nhận rõ ràng về khoản tổn thất.

Cuộc tấn công phù hợp với mô hình gia tăng các sự cố trong lĩnh vực tiền mã hóa suốt năm 2025. Chainalysis báo cáo đã có hơn 3,41 tỷ đô la bị đánh cắp trong lĩnh vực crypto năm nay, với các tác nhân liên quan đến Triều Tiên là những bên đóng góp đáng kể, chiếm phần chưa từng có là 2,02 tỷ đô la.

Sự cố của Makina Finance làm nổi bật rủi ro hệ thống kéo dài do các hoạt động flash loan quy mô lớn trong các giao thức DeFi phụ thuộc mạnh vào các oracle.

Tuyên bố miễn trừ trách nhiệm: Mọi thông tin trong bài viết đều thể hiện quan điểm của tác giả và không liên quan đến nền tảng. Bài viết này không nhằm mục đích tham khảo để đưa ra quyết định đầu tư.

PoolX: Khóa để nhận token mới.

APR lên đến 12%. Luôn hoạt động, luôn nhận airdrop.

Khóa ngay!