Makina 遭受 413 萬美元攻擊：如何追蹤 DeFi 生態系統中的閃電貸攻擊和 MEV 活動跡跡

星期二早上2024年1月20日，去中心化金融協議Makina遭遇了一次造成數百萬美元損失的攻擊。PeckShield區塊鏈安全團隊報告稱，黑客利用預言機漏洞成功抽取Curve中的DUSD/USDC穩定幣池資金。在這次攻擊中，他們損失了約1,299個以太幣，當時價值約413萬美元，顯示DeFi安全趨勢日益嚴峻，令人憂慮。

閃電貸款：無抵押借款改變DeFi格局的方法

為了理解這次攻擊的運作方式，我們需要梳理攻擊者使用的技術步驟。根據CertiK安全工程師的分析，攻擊者首先通過閃電貸款借入大量資金。閃電貸款是DeFi中的一種獨特機制，允許任何人在不提供抵押的情況下借入大量資產，唯一條件是在同一筆交易中還清。

在Makina的案例中，攻擊者通過閃電貸款借入2.8億USDC——這個數額若沒有此機制幾乎不可能實現。在這筆借款中，約1.7億USDC用於更具策略性的操作：干擾MachineShareOracle，該組件負責向池中報告股價。

操控預言機：價格系統變成攻擊武器

在DeFi生態系中，預言機像是“信息橋樑”，向智能合約提供實時資產價格。這個系統非常關鍵，因為智能合約依賴這些數據來執行交易。然而，漏洞出現在攻擊者能在同一交易中操控預言機數據。

攻擊者將通過閃電貸款借入的資金投入到池中，暫時操控預言機報告的價格。Curve池信任這些預言機提供的資訊，開始相信資產價值高於實際。當預言機報告的價值顯著上升時，攻擊者用約1.1億USDC兌換池中的資產，而該池實際流動性僅約500萬美元。

由於池被虛假價格欺騙，支付的價格遠高於應有價值。結果，DUSD/USDC池幾乎被抽空，約510萬USDC流出到攻擊者手中。正如CertiK安全工程師所說：“在交易中，預言機價格被操控，使Curve池以升高的價格支付。約510萬USDC流出，攻擊者獲利約410萬美元。”

MEV建構者竊取大部分收益，真正的黑客只剩下少量

有趣的是，這個故事中還有一個未被提及的第三方角色。攻擊者將DUSD的收益轉換成以太幣並進行多次交易後，這次利用的絕大部分價值被一個名為MEV建構者的實體奪走。MEV（最大可提取價值）指的是區塊建構者和驗證者通過排序、插入和篡改交易來最大化獲利的能力。

在本案中，識別為地址0xa6c2的MEV實體成功獲取了大部分的利用價值。CertiK估計，該MEV建構者從總共約500萬美元的穩定幣池中提取了約414萬美元。這意味著，真正的黑客在所有計算後，只剩下約80萬美元的利潤。

剩餘的以太幣通過MEV路由轉移到兩個不同的地址：第一個地址（0xbed）持有約330萬美元的ETH，另一個地址（0x573d）則持有約276 ETH。這種動態顯示出現代DeFi生態系的複雜性，即使是黑客也可能被MEV系統所“反制”。

Makina Finance宣布事件並呼籲流動性撤出

星期二UTC時間06:42，Makina Finance在X（Twitter）發布官方聲明，承認此次漏洞。然而，團隊試圖安撫社群，表示問題似乎僅限於Curve中的DUSD流動性提供者位置，並未影響整個協議基礎設施。

在公告中，Makina也呼籲DUSD Curve池的流動性提供者暫時撤出資金，等待團隊制定下一步措施。Makina承諾在事件調查完成後，將向社群提供最新資訊。該協議於2025年2月推出，根據DeFiLlama數據，在此次攻擊前，總鎖定價值（TVL）曾達到1億49萬美元。

DeFi安全背景：加密貨幣用戶的暗淡之年

Makina的閃電貸款攻擊成為加密貨幣用戶對安全狀況日益擔憂的警示。到2025年，行業經歷了一個非常糟糕的年份，超過30億美元的資金被盜。Web3安全與詐騙報告由Cybers記錄了108起詐騙與安全事件，總資產被盜金額達到160億美元，涉及至少140個交易所和平台。

更多數據顯示，2025年有超過420萬筆詐騙交易，來自78萬個獨特地址，並且有近1.9萬個活躍的詐騙網絡，涉及USDT、ETH和USDC等資產。Makina的攻擊再次強調，儘管區塊鏈技術持續進步，DeFi仍存在許多未被完全解決的漏洞。