DeFi-протокол Makina Finance зламали на $5 млн
Хакери зламали децентралізований проєкт Makina Finance. З одного стейблкоїн-пулу вивели близько $5 млн, повідомили в CertiK.
We have seen an exploit on @makina; the Dialectic USD/USDC Stableswap pool has been manipulated and drained for approximately $5M, with the majority, $4.14M, going to an MEV builder address.https://t.co/rgLjDVuqzD
Stay Vigilant!
— CertiK Alert (@CertiKAlert) January 20, 2026
Атаку здійснили через маніпуляцію оракулом. Скориставшись флешкредитом на 280 млн USDC, зловмисник штучно змінив цінові дані в MachineShareOracle, на які спирався протокол.
У підсумку постраждав пул DUSD/USDC на платформі Curve — з нього кіберзлочинці вивели всі кошти.
Більшу частину викрадених активів ($4,14 млн) зрештою перехопив MEV-білдер.
Розробники Makina заявили, що «поінформовані про потенційний інцидент» і проводять перевірку. За їхніми словами, проблема торкнулася лише позицій постачальників ліквідності DUSD у Curve.
Gmak, early this morning we received reports regarding an incident with the $DUSD Curve pool
At this stage, the issue appears to be isolated to DUSD LP positions on Curve. There is currently no indication that other assets or deployments are affected.
Underlying assets held in…
— Makina (@makinafi) January 20, 2026
«Як запобіжний захід у всіх Machines активовано режим безпеки, поки ми продовжуємо оцінювати ситуацію. Ми наполегливо радимо постачальникам ліквідності в пулі DUSD Curve вивести свої кошти», — написала команда.
Розмір збитків не уточнили.
Фахівці GoPlus Security оцінили втрати у $5,1 млн, а в PeckShield повідомили про крадіжку 1299 ETH ($4,1 млн).
Makina Finance — це рушій для виконання DeFi-стратегій, запущений у лютому 2025 року. Протокол заявляє про надання інституційних стратегічних сховищ.
На момент інциденту TVL платформи становив $100 млн.
Новий підхід
Старший дослідник безпеки a16z crypto Деджун Пак закликав сектор DeFi вбудовувати захист безпосередньо в код.
Основа зсуву — використання стандартизованих специфікацій, які обмежують допустимі дії протоколу та автоматично відкочують будь-яку транзакцію, що порушує заздалегідь визначені припущення про «коректну поведінку».
«Майже кожну відому атаку було б припинено на етапі виконання такими перевірками. Це означає перехід від старої парадигми „код — це закон“ до нової: „закон — це специфікація“», — підкреслив експерт.
Актуальність пропозиції підкреслює статистика зламів: за даними SlowMist, у 2025 році хакери вкрали через вразливості в коді понад $649 млн. Навіть перевірені часом протоколи на кшталт Balancer втрачали сотні мільйонів доларів.
Втім, підхід має і недоліки. Директор з безпеки Immunefi Гонсалу Магальяйнш зазначив у коментарі DL News, що додаткові перевірки підвищать вартість газу — це може відлякати користувачів, які шукають низькі комісії.
За його словами, перевірки інваріантів — чудова стратегія, але не «срібна куля», оскільки вони не враховують непередбачені вектори атак.
Інша проблема — складність коректного налаштування таких захистів. Співзасновник Asymmetric Research Фелікс Вільгельм підкреслив, що створити ефективний інваріант на практиці вкрай важко.
«Для багатьох вразливостей і реальних атак непросто або навіть неможливо розробити інваріант, який би впевнено відловлював злам, при цьому не блокуючи легітимні операції у штатному режимі», — пояснив він.
Такі перевірки також часто лише обмежують збитки або слугують сигналом для команди, але не зупиняють злам повністю.
Попри бар’єри, деякі протоколи вже впровадили практику. Кредитний Solana-протокол Kamino і розробники XRP Ledger використовують перевірки інваріантів для забезпечення цілісності своїх складних систем і захисту від ще не виявлених багів.
Нагадаємо, CEO Immunefi Мітчелл Амадор дійшов висновку, що майже 80% криптовалютних проєктів припиняють існування після масштабних зламів.