“`html
Децентралізований проєкт Makina Finance зазнав злому від хакерів. З одного стейблкоїн-пулу було виведено близько $5 млн, про це повідомили в CertiK.
#CertiKInsight 🚨
We have seen an exploit on @makina; the Dialectic USD/USDC Stableswap pool has been manipulated and drained for approximately $5M, with the majority, $4.14M, going to an MEV builder address.https://t.co/rgLjDVuqzD
Stay Vigilant!
— CertiK Alert (@CertiKAlert) January 20, 2026
Атаку було здійснено шляхом маніпулювання оракулом. Застосувавши флешкредит на 280 млн USDC, зловмисник навмисно спотворив цінові відомості в MachineShareOracle, на які базувався протокол.
В результаті постраждав пул DUSD/USDC на платформі Curve — звідти кіберзлочинці забрали усі активи.
Значну частину викрадених активів ($4,14 млн) в кінцевому підсумку перехопив MEV-білдер.
Розробники Makina повідомили, що «знають про можливий інцидент» і проводять розслідування. За їх словами, проблема зачепила тільки позиції постачальників ліквідності DUSD у Curve.
Gmak, early this morning we received reports regarding an incident with the $DUSD Curve pool
At this stage, the issue appears to be isolated to DUSD LP positions on Curve. There is currently no indication that other assets or deployments are affected.
Underlying assets held in…
— Makina (@makinafi) January 20, 2026
«У якості запобіжного заходу у всіх Machines активовано безпечний режим, поки ми продовжуємо оцінювати ситуацію. Ми настійно рекомендуємо постачальникам ліквідності в пулі DUSD Curve вивести свої активи», — заявила команда.
Розмір завданих збитків не було уточнено.
Спеціалісти з GoPlus Security оцінили збитки у $5,1 млн, а PeckShield повідомили про викрадення 1299 ETH ($4,1 млн).
Makina Finance — це механізм для реалізації DeFi-стратегій, запущений у лютому 2025 року. Протокол запевняє про забезпечення інституційних стратегічних сховищ.
На момент інциденту TVL платформи становив $100 млн.
Джерело: DefiLlama.
Новий підхід
Провідний дослідник безпеки a16z crypto Деджун Пак закликав сектор DeFi впроваджувати захист безпосередньо в код.
Суть зсуву — використання стандартизованих специфікацій, які обмежують дозволені дії протоколу та автоматично скасовують будь-яку транзакцію, що порушує заздалегідь визначені припущення про «правильну поведінку».
«Практично кожну відому атаку було б зупинено на етапі виконання такими перевірками. Це означає перехід від застарілої парадигми „код — це закон“ до нової: „закон — це специфікація“», — підкреслив експерт.
Актуальність пропозиції підкреслює статистика зламів: за відомостями SlowMist, у 2025 році хакери вкрали через уразливості в коді понад $649 млн. Навіть перевірені часом протоколи на зразок Balancer втрачали сотні мільйонів доларів.
Разом з тим, підхід має і недоліки. Директор з безпеки Immunefi Гонсалу Магальяйнш зауважив у коментарі DL News, що додаткові перевірки збільшать вартість газу — це може відштовхнути користувачів, які шукають малі комісії.
За його словами, перевірки інваріантів — це чудова стратегія, але не «чарівна паличка», оскільки вони не беруть до уваги неочікувані вектори атак.
Інша проблема — складність коректного налаштування таких захистів. Співзасновник Asymmetric Research Фелікс Вільгельм підкреслив, що створити дієвий інваріант на практиці надзвичайно складно.
«Для багатьох вразливостей і реальних атак непросто або навіть неможливо розробити інваріант, який би впевнено виявляв злам, при цьому не блокуючи правомірні операції у звичайному режимі», — пояснив він.
Такі перевірки також часто тільки обмежують збитки або слугують сигналом для команди, але не зупиняють злам повністю.
Не зважаючи на труднощі, деякі протоколи вже впровадили практику. Кредитний Solana-протокол Kamino і розробники XRP Ledger використовують перевірки інваріантів для забезпечення цілісності своїх складних систем і захисту від ще не виявлених помилок.
Нагадаємо, CEO Immunefi Мітчелл Амадор дійшов висновку, що приблизно 80% криптовалютних проєктів припиняють існування після значних зламів.
“`