Makina Finance столкнулась с эксплойтом, который ударил по стейблкоин-пулу DUSD/USDC (в коммуникациях также фигурирует связка DUSD–DUSDC) на Curve. По оценкам ончейн-аналитиков и мониторинговых сервисов, из пула вывели около $5 млн в стейблкоинах, а в эквиваленте атака засветилась как вывод 1 299 ETH (порядка $4 млн на момент инцидента). Необычная деталь — значительная часть ценности, по данным исследователей, ушла не напрямую злоумышленнику, а MEV-билдеру, который «перехватил» сделку в процессе исполнения.

• Объект атаки: пул DUSD/USDC (DUSD–DUSDC) на Curve Finance.
• Механика: флэш-заём на $280 млн в USDC → манипуляция оракулом цены → обмен/вывод по «искажённому» курсу.
• Оценка ущерба: около $5 млн (в отдельных оценках фигурирует 5 107 871 USDC); также упоминается вывод 1 299 ETH (~$4 млн).
• Куда ушла ценность: по данным мониторинга, большую долю перехватил MEV-билдер.
• Статус: команда заявляла, что проблема выглядит изолированной на LP-позициях в пуле; «машины»/хранилища переведены в безопасный режим, LP рекомендовали выводить ликвидность.

Что произошло: взлом, который выглядит «обычным», но с важной оговоркой

Атака на Makina Finance укладывается в знакомый для DeFi паттерн: протоколы, которые опираются на ончейн-оценку активов (спот-цены, внутренние оракулы долей/пайёв, баланс-зависимые формулы), остаются уязвимыми к краткосрочному «перекачиванию» капитала. Для этого и используют flash loan — мгновенный заём, который берётся и возвращается в рамках одной транзакции. На коротком отрезке времени это позволяет атакующему стать «самым богатым игроком в комнате» и продавить расчёт цены так, как ему выгодно.

В кейсе Makina аналитики описывают схему так: злоумышленник получил $280 млн в USDC, после чего задействовал большую часть суммы для искажения данных, которые использует оракул, отвечающий за оценку долей в пуле. Затем через крупный своп/серии действий он извлёк ликвидность, на которую протокол «согласился» из-за подменённой цены.

На первый взгляд — классика «oracle manipulation». Но дальше начинается самое интересное: из-за конкуренции за порядок включения транзакций в блок (и за возможность заработать на чужом действии) атаку, судя по сообщениям мониторинговых сервисов, фронтранул MEV-участник. Итог: формально взлом «сработал», однако большая доля выгоды осела у блока-строителя/билдера, а не у исходного инициатора атаки.

Почему пострадали именно LP в пуле (и при чём здесь Curve)

Curve — это DEX, оптимизированный под обмен активов с близкой ценой: стейблкоины, токены ликвидного стейкинга и похожие пары. Из-за «стейблкоин-логики» такие пулы часто воспринимаются как более спокойные по сравнению с волатильными парами. Но «спокойный» не значит «неуязвимый»: если формула выплат или оценка долей опирается на данные, которые можно краткосрочно исказить, то тонкая ликвидность становится не защитой, а ускорителем проблемы.

В классической модели AMM пул хранит активы, а LP владеют долями. Если из пула извлекают ликвидность через баг/манипуляцию, потери распределяются по LP-долям: у поставщиков ликвидности остаётся «пустая оболочка» пула или активы с ухудшившимся балансом. Поэтому в первых сообщениях вокруг инцидента звучала рекомендация: провайдеры ликвидности в затронутом пуле должны оценить необходимость вывода средств.

При этом команда Makina подчёркивала, что речь идёт именно о LP-позициях в конкретном пуле на Curve, а не о «всех средствах в протоколе». Это важное различие: одно дело — компрометация собственных хранилищ/стратегий, другое — проблема на стыке интеграции и расчётной логики, которая затрагивает конкретный пул/маршрут.

Техническая сторона: как манипуляция ценой превращается в вывод ликвидности

Чтобы понимать, почему подобные атаки повторяются из года в год, достаточно разобрать два слоя: (1) откуда берётся «цена» внутри контракта, и (2) что именно эта цена влияет.

1) Источник цены. Если протокол считает стоимость доли/пай-токена по спот-цене внутри пула или по данным внутреннего оракула, который «смотрит» на ончейн-состояние (балансы, текущую цену в пуле, краткосрочные котировки), то атакующий может «накачать» входные данные. Flash loan для этого идеален: он создаёт временную аномалию, не требуя капитала на долгий срок.

2) Куда цена применяется. Дальше всё зависит от логики: цена может использоваться для расчёта, сколько LP-долей вы получаете при внесении ликвидности, сколько получаете при выводе, сколько токенов выдаётся при свопе, как считается доля стратегии и т.д. Если атакующий сначала добавляет ликвидность, затем искажает цену, а потом выводит — он фактически заставляет систему «пересчитать» его долю как более дорогую, чем она должна быть в нормальном состоянии.

В опубликованных разборках по Makina фигурирует конкретная последовательность: из флэш-займа $170 млн USDC использовали для манипуляции оракулом долей, затем ещё около $110 млн применили для торгового действия в пуле, который сам по себе имел несоизмеримо меньшую ликвидность (порядка нескольких миллионов долларов). Такое «несоответствие масштабов» часто и становится точкой взлома: пул/формула не рассчитаны на ситуацию, когда против него на одну транзакцию «выкатывают» сотни миллионов.

MEV-билдер перехватил выгоду: что это значит на практике

MEV (maximal extractable value) — это ценность, которую можно извлечь из порядка исполнения транзакций в блоке. В простом виде это выглядит как гонка: кто первым исполнит арбитраж или «подрежет» чужую сделку, тот и заберёт прибыль. В более сложном — это рынок билдеров, приватных маршрутов доставки транзакций, аукционов за включение в блок и оптимизации последовательностей операций.

Почему это важно именно для истории с Makina? Потому что в момент, когда атакующая транзакция стала «видимой» для инфраструктуры (в мемпуле или в приватных каналах), MEV-участники получили сигнал: внутри одной транзакции скоро появится арбитраж/возможность забрать активы. Если билдер/поисковик (searcher) успевает встроить свои действия так, чтобы извлечь ценность первым, исходный атакующий может остаться с меньшей долей или вообще с «крошками».

В разборках инцидента подчёркивается, что именно это и произошло: транзакцию «опередили», и существенная часть ценности ушла на адрес MEV-участника. Для пострадавших LP это не делает ущерб «меньше» — пул всё равно теряет активы. Но появляется другой вопрос: можно ли вернуть средства, если получатель — инфраструктурный участник, а не анонимный атакующий?

Теоретически это повышает шанс переговоров и возврата: MEV-участники часто взаимодействуют с экосистемой публично, зависят от репутации и партнёрств (релеи, валидаторы, билдер-маркетплейсы). Но «теоретически» — ключевое слово. На момент появления первых оценок публичной информации о договорённостях или компенсационном плане не было.

Что сказала команда Makina (и что пока остаётся неизвестным)

По сообщениям СМИ и агрегаторов, команда Makina сообщала, что инцидент выглядит изолированным на LP-позициях DUSD-пула на Curve, и что остальные развёртывания/активы не демонстрируют признаков затрагивания. Также упоминалось, что «машины» (стратегические хранилища/модули исполнения) переведены в безопасный режим, а LP рекомендовали выводить ликвидность из затронутого пула на время расследования.

При этом в первые часы после атаки рынок информации традиционно выглядел фрагментарно: часть деталей шла от мониторинга (CertiK, PeckShield и др.), часть — из пересказов сообщений в соцсетях/комьюнити-каналах. Для подобных ситуаций это типично: ончейн-факты появляются сразу, а юридически выверенная позиция команды — позже.

Что остаётся неизвестным на момент публикации:

• будет ли официальный пост-мортем с точной причиной на уровне кода и перечнем затронутых контрактов;
• есть ли план компенсации LP и в какой форме он может быть реализован (если вообще будет);
• вёлся ли контакт с MEV-участником, который, по оценкам аналитиков, перехватил крупную часть ценности;
• какие изменения внесут в оракульную/расчётную логику, чтобы исключить повторение сценария.

Почему «стейблкоин-пулы» — не синоним «низкого риска»

Нарратив «стейблкоины = безопаснее» держится на простом наблюдении: цена активов близка к $1, значит меньше волатильности и меньше ценовых сюрпризов. Но это относится к рыночному риску, а не к риску смарт-контрактов и риску дизайна.

Если протокол использует собственную схему оценки долей (share price) или внутренний оракул, то стейблкоин-стабильность помогает лишь в нормальном режиме. В «ненормальном» — при экстремально большом краткосрочном капитале — уязвимость часто становится даже заметнее: формулы, рассчитанные на небольшие отклонения, ломаются при «ударе молотом» из сотен миллионов в одной транзакции.

Именно поэтому индустрия постепенно уходит от наивных источников цены к более устойчивым архитектурам: TWAP-механики, мультисигнальные оракулы, лимиты на размер операций, задержки на изменение параметров, защитные «circuit breaker» режимы и т.п. Но каждый слой защиты — это компромисс между безопасностью, UX и капитал-эффективностью.

Практика для пользователей: как действовать после новостей об эксплойте

Если вы взаимодействовали с затронутыми пулами/контрактами, обычно имеет смысл действовать по консервативному чек-листу (даже если вы не уверены, что именно вы «в зоне риска»):

• Проверьте экспозицию: есть ли у вас LP-позиции именно в указанном пуле (DUSD/USDC или DUSD–DUSDC) на Curve.
• Сверьте официальные каналы проекта: смотрите только на подтверждённые аккаунты/домены, не переходите по ссылкам из «срочных» сообщений в личку.
• Оцените необходимость вывода ликвидности: если команда просит вывести средства на время расследования — это сигнал, что риск ещё не снят.
• Пересмотрите разрешения (approvals): после инцидентов часто активизируется фишинг и вредоносные dApp-клоны.
• Не гонитесь за «компенсациями» в первые часы: мошенники любят подделывать формы «claim», «refund», «airdrop» и подобные страницы.

Важно: в подобных историях часто страдают не только прямые участники пула, но и те, кто взаимодействовал с экосистемой косвенно — через маршруты обмена, агрегаторы, «умные» стратегии. Поэтому базовая цифровая гигиена после резонансных эксплойтов почти всегда оправдана.

Широкий контекст: почему флэш-атаки всё ещё работают

Индустрия привыкла к флэш-займам настолько, что у части аудитории сформировалась усталость: «опять флэш-эксплойт». Но на практике флэш-займ — это не «виновник», а инструмент, который высвечивает слабое место в дизайне.

Пока протоколы продолжают:

• опираться на спот-цену/балансы в качестве источника истины;
• разрешать крупные операции без защитных лимитов и пауз;
• использовать share-price механики без устойчивых усреднений;

— флэш-капитал будет оставаться самым дешёвым способом проверить систему «на прочность» в боевых условиях.

В кейсе Makina дополнительно подсветилась ещё одна реальность 2025–2026 годов: рынок MEV стал настолько зрелым, что в некоторых ситуациях «победителем» атаки оказывается не тот, кто нашёл уязвимость, а тот, кто контролирует порядок исполнения и умеет лучше монетизировать чужую транзакцию.

FAQ

Полезные ссылки

• Что такое стейблкоины и какие у них риски
• Aave: как устроены флэш-займы и почему они важны для DeFi
• Chainlink и оракулы: зачем DeFi нужны внешние источники данных