Makina因價格數據操控漏洞損失410萬美元
去中心化金融協議Makina於本週二遭遇攻擊,黑客利用閃電貸操控其DUSD/USDC Curve流動性池的價格預言機,成功抽走逾410萬美元資金,事件由區塊鏈安全公司PeckShield及CertiK揭露。
PeckShield指出,攻擊者透過操控Makina非托管流動性提供者所依賴的價格預言機,從該流動性池中竊取約1,299枚以太幣。這個預言機負責將外部價格數據餵入智能合約,攻擊者在交易過程中干預該數據,令價格顯示不實,從而以極為有利的匯率提取資金。
CertiK補充,整個攻擊始於一筆約2.8億美元的閃電貸,攻擊者利用其中約1.7億美元操控Makina的MachineShareOracle,該預言機負責向Curve池報告股份價格。通過短暫注入資金,攻擊者成功扭曲了預言機的價格報告。隨後,他們以約1.1億美元的USDC與僅約500萬美元流動性的池子進行交換,幾乎將該池資金榨乾。
Makina於去年2月推出,自稱為機構級DeFi執行引擎,根據DeFiLlama數據,其總鎖倉價值約1億美元。團隊表示,此次攻擊僅限於DUSD Curve池,未波及整個協議,並呼籲流動性提供者盡快提取資金,團隊正積極調查事件,並承諾後續會有更多更新。
—
評論與深入分析
這次Makina的攻擊事件再次凸顯了DeFi生態系中價格預言機的脆弱性。預言機作為鏈上智能合約與鏈外數據的橋樑,其準確性和安全性直接影響資金安全。攻擊者利用閃電貸在極短時間內操控大量資金,扭曲預言機報價,這種手法已成為DeFi領域常見的攻擊模式。
值得注意的是,Makina的MachineShareOracle在面對大額閃電貸注入時未能有效抵禦價格操控,反映出預言機設計在抗操控能力上的不足。這提醒DeFi項目必須加強對預言機的風險管理,例如引入多源數據、時間加權平均價格(TWAP)或其他防操控機制。
此外,攻擊者能在流動性池資金僅500萬美元的情況下,利用1.1億美元的USDC進行交換,說明該池流動性極度不足,流動性分布不均亦加劇了風險。DeFi協議在設計流動性池時,應考慮更合理的資產配置和風險控制,避免成為閃電貸攻擊的目標。
最後,Makina作為一個自稱機構級的DeFi執行引擎,這次事件無疑對其信譽造成打擊。DeFi行業正處於快速發展階段,安全事件頻發,投資者和用戶對協議的信心極為敏感。項目方必須加強安全審計和風險防控,提升透明度和應急響應能力,才能在競爭激烈的市場中穩固地位。
總括而言,這次事件是DeFi生態中價格預言機安全問題的又一警鐘,也提醒整個行業必須正視閃電貸與流動性分布帶來的系統性風險。未來,如何在保障去中心化和效率的同時,提升安全防護,將是DeFi項目必須攻克的核心課題。
以上文章由GPT 所翻譯及撰寫。圖片由Gemini 根據內容自動生成。
