Das DeFi-Protokoll Makina Finance wurde am 20. Januar 2026 Opfer eines Cyberangriffs. Ein Exploit, der auf die Manipulation eines Preis-Feeds zurückzuführen ist, führte zu einem Verlust von rund 4,13 Millionen US-Dollar. Der Angriff betraf speziell den DUSD/USDC-Liquiditätspool auf Curve.
Der Angriff begann mit einem Flash-Loan, bei dem der Angreifer 280 Millionen USDC ohne Hinterlegung von Sicherheiten entlieh. Ein Teil dieses Geldes, circa 170 Millionen USDC, wurde eingesetzt, um das MachineShareOracle zu manipulieren. Dieses Oracle ist für die Preisangaben an den Pool zuständig.
Durch die vorübergehende Einspeisung von Kapital konnte der Angreifer die vom Oracle gemeldeten Preisdaten verzerren. Dies veranlasste das System, falschen Preisinformationen zu vertrauen, was dem Angreifer ermöglichte, Token zu einem künstlich günstigen Kurs aus dem DUSD/USDC-Stablecoin-Pool auf Curve abzuziehen.
Die Blockchain-Sicherheitsfirma PeckShield meldete den Entzug von rund 1.299 Ether (ETH) aus dem Pool, was einem Wert von etwa 4,13 Millionen US-Dollar entsprach.
Es gibt auch Berichte, die von einem Abfluss von etwa 5,1 Millionen USDC sprechen, wobei der Angreifer einen Gewinn von rund 4,1 Millionen US-Dollar erzielte. Ein MEV-Bot (Maximal Extractable Value) führte die Transaktion zur Gewinnmaximierung aus.
Makina Finance bestätigte den Vorfall und gab an, dass ausschließlich die DUSD-Liquiditätsanbieterpositionen auf Curve betroffen waren. Alle anderen Vermögenswerte und Implementierungen blieben unberührt. Als Sicherheitsmaßnahme wurden alle „Machines“ in einen sicheren Modus versetzt.
Liquiditätsanbietern im DUSD Curve-Pool wurde geraten, ihre Gelder umgehend abzuziehen.
