攻撃者が2億8,000万USDCのフラッシュローンを利用し MakinaのDUSDプールから420万ドルを流出

Makina Financeは**Ethereum上の分散型金融プロトコルであり、攻撃者がDUSD/USDCステーブルスワッププールの脆弱なオラクルメカニズムを悪用した結果、約420万ドルを失った。ブロックチェーンセキュリティ企業CertiK**は、盗まれた資金の大部分をMEVビルダーアドレスへと追跡している。

何が起きたのか：ステーブルスワッププールの枯渇

CertiKの分析によると、攻撃者は2億8,000万USDCのフラッシュローンを利用してこの攻撃を実行した（参照）。

約1億7,000万USDCが、DUSD/USDCプールの価格参照に使われているMachineShareOracleの操作に充てられた。

残りの1億1,000万USDCは、およそ500万ドル規模のプールに対して取引され、ほぼ完全に流出させた。

セキュリティ研究者n0b0dyは、トランザクションの途中でも誰でもプロトコルの価格アンカーを更新できる「updateTotalAum()」というパーミッションレスな関数が根本原因だと特定した。

このオラクルにはタイムディレイや出来高加重平均価格（VWAP）、アクセス制御がなく、攻撃者は単一トランザクション内で操作したプール残高を会計システムに反映させることができた。

TenArmorのセキュリティシステムはこの攻撃を検知し、約420万ドルの損失を確認した。

関連記事: [Ethereum Staking Hits 30% All-Time High As $115B Gets Locked Away(https://yellow.com/news/ethereum-staking-hits-30-all-time-high-as-dollar115b-gets-locked-away)

なぜ重要か：オラクル設計の欠陥

この攻撃は、適切な保護機構のないスポット価格オラクルに依存するDeFiプロトコルにおける、継続的な脆弱性を浮き彫りにした。

シェア価格が現在のプール残高から即座に更新できる場合、フラッシュローンによって一時的に生じた不均衡が、価格計算上の「真実」として悪用可能になる。

そのオラクルに連動してDUSDを取引していたあらゆるプールは、事実上、攻撃者への支払いメカニズムと化していた。

次に読む: ASTER Hits All-Time Low At $0.61 Despite Strategic Buyback Activation