Merkeziyetsiz finans alanında faaliyet gösteren Makina Finance, akıllı sözleşme güvenliğine yönelik karmaşık bir saldırının hedefi oldu. Blockchain güvenlik şirketi CertiK, bugün yayımladığı analizde protokolün stablecoin havuzlarından birinden yaklaşık 5 milyon doların çekildiğini bildirdi. Saldırı yüksek hacimli bir flash loan kullanılarak fiyat oracle’ının manipüle edilmesi yoluyla gerçekleştirildi. Olay 2025 yılı boyunca artan kripto para güvenlik ihlallerinin son örneklerinden biri olarak kayda geçti.
Saldırının Mekanizması
CertiK’e göre saldırgan Makina Finance’in DUSD/USDC Curve stablecoin havuzunu hedef aldı. İşlem zinciri 280 milyon USDC tutarında alınan bir flash loan ile başladı. Bu fonun yaklaşık 170 milyon USDC’lik kısmı havuzun fiyatlandırma için bağlı olduğu MachineShareOracle üzerinde geçici bir dengesizlik yaratmak amacıyla kullanıldı. Manipülasyon sonrası saldırgan kalan 110 milyon USDC’yi toplam büyüklüğü yaklaşık 5 milyon dolar olan havuzda takas ederek varlıkların büyük bölümünü boşalttı.
Farklı güvenlik şirketleri zarara ilişkin değişen rakamlar paylaştı. GoPlus Security kaybı yaklaşık 5,1 milyon dolar olarak hesaplarken, PeckShield çekilen varlığın 4.13 milyon dolar değerinde ETH karşılığına denk geldiğini açıkladı. CertiK’in raporunda dikkat çeken bir diğer unsur ise işlemler sırasında bir MEV builder’ın devreye girerek fonların büyük kısmını yakalaması oldu. Rapora göre 4.14 milyon dolar civarındaki tutar saldırgan yerine MEV altyapısı tarafından ele geçirildi.
Makina Finance, Şubat 2025’te faaliyete geçen ve kurumsal düzeyde strateji kasaları sunduğunu belirten bir DeFi yürütme motoru olarak biliniyor. DefiLlama verilerine göre protokoldeki toplam kilitli varlık değeri olay sırasında 100.49 milyon dolar seviyesindeydi.
Protokol Hızla Tepki Verdi
Makina Finance ekibi saldırının ardından resmi X veya Telegram kanallarında doğrudan bir doğrulama paylaşmadı. İlk açıklama Salı sabahı Discord sunucusunda yapıldı ve ekip, dolaşımda olan paylaşımlardan haberdar olduklarını, bilgileri doğrulama aşamasında bulunduklarını ifade etti. Yaklaşık iki saat sonra gelen ikinci mesajda sorunun Curve üzerindeki DUSD likidite sağlayıcı pozisyonlarıyla sınırlı göründüğü belirtildi ve likidite sağlayıcılarına fonlarını çekmeleri tavsiye edildi. Buna karşın kayba ilişkin açık bir kabul yer almadı.
Yaşananlar 2025 yılının genelinde kripto para ekosisteminde artan saldırılarla birlikte değerlendiriliyor. Chainalysis verilerine göre yıl boyunca kripto para hırsızlıklarının toplam tutarı 3.41 milyar doları aştı. Aynı raporda Kuzey Kore bağlantılı aktörlerin 2.02 milyar dolarlık rekor bir payla en aktif tehdit kaynağı olduğu vurgulandı.
Makina Finance vakası oracle bağımlılığı bulunan DeFi protokollerinde büyük ölçekli flash loan işlemlerinin hala ciddi bir sistemik risk oluşturduğunu bir kez daha gözler önüne serdi.
