在 2025 年发生的一起重大安全事件中,去中心化金融 (DeFi) 平台 Makina Finance 遭受了复杂的预言机操纵攻击,导致其 DUSD/USDC Curve 稳定币池中约 500 万美元被盗。 这起备受瞩目的 Makina Finance 闪电贷攻击 利用大规模闪电贷来操纵定价数据,突显了 DeFi 协议中持续存在的漏洞。
DeFi 抢劫案的复杂性
这次复杂漏洞的策划者以 Makina Finance 的 DUSD/USDC Curve 稳定币池为目标,发起了一项高达 2.8 亿 USDC 的巨额闪电贷操作。 其中大部分,特别是 1.7 亿 USDC,被战略性地部署,以在 MachineShareOracle 中造成暂时的但至关重要的不平衡。 这个预言机直接连接到池的定价机制,使其成为操纵的主要目标。
在这种精确的操纵之后,攻击者继续在现在易受攻击的池中交换剩余的 1.1 亿 USDC。 这一举动有效地耗尽了其大部分资产,抽走了估计约 500 万美元的资金。 攻击的复杂性突显了 DeFi 平台面临的不断演变的威胁,这些平台严重依赖外部数据源进行资产估值。
一个意想不到的转折:MEV 构建者的角色
有趣的是,Makina Finance 闪电贷攻击 的余波揭示了一个意想不到的转折:最大可提取价值 (MEV) 构建者的介入。 区块链安全公司 CertiK 的报告强调,MEV 构建者设法抢先执行了攻击者交易的部分内容,从而获得了大量被盗资金。 据报道,MEV 基础设施查获了约 414 万美元,有效地胜过了最初的攻击者。
不同安全公司对事件造成的总财务影响的估计各不相同。 虽然 CertiK 估计损失约为 500 万美元,但 GoPlus Security 计算出损失约为 510 万美元。 相比之下,PeckShield 报告称,提取的资产相当于 413 万美元的 ETH。 Makina Finance 于 2025 年 2 月推出,定位为提供机构级策略金库的 DeFi 执行引擎,根据 DefiLlama 的数据,在违规发生时,其锁定的资产总价值为 1.0049 亿美元。
Makina Finance 的回应和沟通挑战
在事件发生后,Makina Finance 的官方沟通渠道,例如 X(前身为 Twitter)和 Telegram,保持沉默。 首次承认违规行为是通过周二早上他们的 Discord 服务器发布的,团队在验证细节的同时解决了公众的议论。 官方沟通的最初延迟引发了社区内的一些担忧。
大约两个小时后,发出了第二条消息,确认该问题似乎仅限于 Curve 上的 DUSD 流动性提供者头寸。 该平台建议受影响的流动性提供者提取资金。 然而,在这些公开声明中,明显没有直接明确承认 500 万美元的损失,这引发了人们对危机管理期间透明度的质疑。
2025 年:加密货币安全面临挑战的一年
Makina Finance 闪电贷攻击 不幸的是,这并不是一个孤立的事件,而是表明了 2025 年困扰整个加密货币行业的一个更广泛的趋势。 那一年,安全事件显着增加,Chainalysis 报告称加密货币盗窃案超过 34.1 亿美元。 与朝鲜有关的行动者尤其活跃,声称获得了前所未有的 20.2 亿美元的非法收益,这使得 2025 年成为此类活动创纪录的一年。
该事件以及许多其他事件,突显了与 DeFi 协议中大规模闪电贷操作相关的持续系统性风险,尤其是那些严重依赖外部价格预言机的协议。 随着加密货币格局的不断发展,对强大的安全审计、去中心化预言机解决方案和积极的风险管理的需求仍然至关重要。 及时了解此类事件对于参与者至关重要,而像 cryptoview.io 这样的平台可以提供对市场动态和安全警报的全面见解,帮助用户驾驭这些复杂的水域。 通过 CryptoView.io 寻找机会
