Децентралізований проєкт Makina Finance зазнав хакерської атаки. З одного стейблкоїн-пулу було виведено близько $5 мільйонів, про це повідомили в CertiK.
#CertiKInsight 🚨
We have seen an exploit on @makina; the Dialectic USD/USDC Stableswap pool has been manipulated and drained for approximately $5M, with the majority, $4.14M, going to an MEV builder address.https://t.co/rgLjDVuqzD
Stay Vigilant!
— CertiK Alert (@CertiKAlert) January 20, 2026
Атака була реалізована шляхом маніпулювання оракулом. Використовуючи флешкредит на суму 280 млн USDC, зловмисник навмисно змінив цінові дані в MachineShareOracle, на які опирався протокол.
У результаті постраждав пул DUSD/USDC на платформі Curve — з нього кіберзлочинці вилучили всі наявні активи.
Значна частина викрадених активів ($4,14 млн) в кінцевому підсумку була перехоплена MEV-білдером.
Розробники Makina повідомили, що «знають про можливий інцидент» та проводять розслідування. За їхніми словами, проблема зачепила тільки позиції постачальників ліквідності DUSD в Curve.
Gmak, early this morning we received reports regarding an incident with the $DUSD Curve pool
At this stage, the issue appears to be isolated to DUSD LP positions on Curve. There is currently no indication that other assets or deployments are affected.
Underlying assets held in…
— Makina (@makinafi) January 20, 2026
«Як запобіжний захід, у всіх Machines активовано безпечний режим, поки ми продовжуємо оцінювати ситуацію. Ми настійно рекомендуємо постачальникам ліквідності в пулі DUSD Curve вивести свої активи», — заявила команда.
Розмір збитків не було конкретизовано.
Експерти GoPlus Security оцінили збитки в $5,1 млн, а в PeckShield повідомили про викрадення 1299 ETH ($4,1 млн).
Makina Finance — це механізм для реалізації DeFi-стратегій, запущений у лютому 2025 року. Протокол заявляє про надання інституційних стратегічних сховищ.
На момент випадку TVL платформи становив $100 млн.
Джерело: DefiLlama.
Новий погляд
Старший дослідник безпеки a16z crypto Деджун Пак закликав DeFi-сектор інтегрувати захист безпосередньо в код.
Основа зсуву — використання стандартизованих специфікацій, які лімітують дозволені дії протоколу та автоматично скасовують будь-яку транзакцію, що порушує заздалегідь визначені припущення про «правильну поведінку».
«Майже кожна відома атака була б зупинена на етапі виконання такими перевірками. Це означає перехід від колишньої парадигми „код — це закон“ до нової: „закон — це специфікація“», — наголосив експерт.
Актуальність пропозиції підкреслює статистика атак: за інформацією SlowMist, у 2025 році зловмисники викрали понад $649 млн через вразливості в коді. Навіть перевірені часом протоколи, такі як Balancer, втрачали сотні мільйонів доларів.
Однак, підхід має і недоліки. Директор з безпеки Immunefi Гонсалу Магальяйнш зазначив у коментарі DL News, що додаткові перевірки збільшать вартість газу — це може відлякнути користувачів, які шукають невисокі комісії.
За його словами, перевірки інваріантів — відмінна стратегія, але не «панацея», оскільки вони не враховують непередбачені напрямки атак.
Інша проблема — складність правильного налаштування таких захистів. Співзасновник Asymmetric Research Фелікс Вільгельм підкреслив, що розробити дієвий інваріант на практиці вкрай складно.
«Для багатьох вразливостей і реальних атак непросто або навіть неможливо розробити інваріант, який би впевнено виявляв злам, при цьому не блокуючи легітимні операції у звичайному режимі», — пояснив він.
Подібні перевірки часто лише зменшують збитки або слугують сигналом для команди, але не припиняють атаку повністю.
Незважаючи на перешкоди, деякі протоколи вже застосовують практику. Кредитний Solana-протокол Kamino і розробники XRP Ledger використовують перевірки інваріантів для забезпечення цілісності своїх складних систем і захисту від ще не виявлених помилок.
Нагадаємо, CEO Immunefi Мітчелл Амадор дійшов висновку, що майже 80% криптовалютних проєктів припиняють своє існування після великих атак.