Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 259Flash-Loan-Angriff

Makina MachineShareOracle Drain

4,13 Mio. $ aus Makinas DUSD/USDC-Curve-Pool durch Flash-Kredit-Orakel-Manipulation gegen MachineShareOracle abgezogen; 89 % in einer Woche zurückgeholt.

Datum
Opfer
Makina
Chain(s)
Ethereum
Status
Teilweise zurückerlangt

Am 20. Januar 2026 verlor das On-Chain-Yield- und Asset-Management-Protokoll Makina etwa 4,13 Millionen $, als ein Angreifer das MachineShareOracle manipulierte, das Anteilspreise an den Dialectic USD (DUSD) / USDC Curve-Stableswap-Pool meldete. Der Angreifer nutzte 280 Millionen $ an Flash-Krediten mit 170 Millionen $ eingesetzt, speziell um die Orakel-Lesung zu bewegen. Nach SafeHarbor-konformer White-Hat-Verhandlung bekamen 89 % der betroffenen Nutzer ihre Mittel innerhalb einer Woche vollständig zurück.

Was geschah

Makina betrieb "Machines" — automatisierte Yield-Management-Vaults, die mit externen DeFi-Protokollen (Curve, Aave, andere) integriert waren, um Nutzerkapital einzusetzen. Der Anteilspreis jeder Machine wurde über ein MachineShareOracle berechnet, das Assets-under-Management an den Curve-Pool meldete, in dem Nutzer Liquidität bereitstellten.

Der fatale Fehler: Die AUM-Berechnung des MachineShareOracle las Pool-Zustand von externen Curve-Integrationen ohne Validierung. Durch Manipulation des Zustands des externen Pools konnte ein Angreifer den vom Orakel gemeldeten Preis auf falsche Werte drücken — was dann beeinflusste, wie Makinas Curve-Pool Nutzereinzahlungen und -abhebungen bewertete.

Der Angriff:

  1. Nahm einen Flash-Kredit über 280 Mio. USDC auf.
  2. Setzte etwa 170 Mio. $ in den Curve-Pools ein, aus denen das MachineShareOracle las, und verzerrte den Pool-Zustand, um das von Makina gemeldete AUM künstlich aufzublähen.
  3. Das MachineShareOracle meldete das aufgeblähte AUM und trieb den Anteilspreis des DUSD/USDC-Curve-Pools nach oben.
  4. Hinterlegte und zog sofort Makina-Positionen ab zum aufgeblähten Anteilspreis und extrahierte mehr, als eingesetzt wurde.
  5. Zahlte den Flash-Kredit zurück und ging mit etwa 4,13 Mio. $ Gewinn davon.

Folgen

  • Das Makina-Team aktivierte den "Sicherheitsmodus" für alle Machines und pausierte den Betrieb, um weitere Verluste zu verhindern.
  • LPs wurde geraten, einseitig in DUSD abzuheben aus dem betroffenen Pool, während die Behebung im Gange war.
  • Das Team erstellte On-Chain-Snapshots vor dem Exploit für Kompensationsberechnungen.
  • Koordinierte mit SEAL911, ChainSecurity, EnigmaDarkLabs und Cantina für die Vorfallsprüfung.
  • Bot dem Angreifer eine 10 %-Belohnung (bis zu 102,3 ETH) über die SafeHarbor-WhiteHat-Richtlinie an.
  • Der Angreifer akzeptierte das Angebot: Über 3,65 Mio. $ wurden zurückgewonnen und 89 % der Nutzer wurden innerhalb einer Woche vollständig entschädigt.
  • Das Protokoll nahm den normalen Betrieb am 26. Januar 2026 wieder vollständig auf — nur sechs Tage nach dem Exploit.

Warum es wichtig ist

Der Makina-Vorfall ist einer der saubereren Fälle von 2026 dafür, wie ein gut konstruierter Incident-Response-Prozess einen bedeutenden Exploit in ein eingedämmtes operatives Ereignis verwandeln kann. Die SafeHarbor-WhiteHat-Richtlinie, zu der sich Makina vorab verpflichtet hatte — einschließlich der Belohnungsstruktur und der rechtlichen Schutzbedingungen — bot dem Angreifer einen glaubwürdigen Weg zur White-Hat-Lösung, den er nahm.

Die strukturellen Lehren:

  1. SafeHarbor-artige Richtlinien sind zunehmend lohnenswert, vorab festzulegen, anstatt mitten in einem Vorfall zu verhandeln. Die Wahl des Angreifers zwischen "4 Mio. $ mit Strafverfolgungsrisiko waschen" und "400.000 $ Belohnung mit Strafverfolgungsschutz akzeptieren" wird erheblich verschoben, wenn die Richtlinie klar dokumentiert und ausführungsbereit ist, anstatt improvisiert zu werden.

  2. Orakel-Integrationen mit externen Pools müssen gegen Manipulation validieren — der Fehlermodus des Makina-MachineShareOracle war das Lesen des Pool-Zustands, ohne zu berücksichtigen, dass der Pool extern und manipulierbar war. Moderne defensive Muster umfassen das Lesen aus mehreren Pools, das Anwenden zeitgewichteter Aggregation und die Begrenzung der Orakel-Bewegung pro Block.

  3. Die 6-Tage-"Exploit-bis-vollständige-Wiederherstellung"-Zeitachse ist eine der schnellsten dokumentierten für einen DeFi-Vorfall ab 4 Mio. $. Die Kombination aus klarem vorab gebauten Prozess, funktionierendem White-Hat-Pfad und engagierten Incident-Response-Partnern (SEAL911 u.a.) machte dies möglich. Protokolle, die diese Fähigkeiten nicht vorab inszenieren, benötigen Wochen oder Monate für ähnliche Ergebnisse.

Makina reiht sich in die wachsende Kategorie 2025-2026 von "mittelgroßer Exploit, schnelle Wiederherstellung über verhandeltes White-Hat" ein — ein Muster, das zum dominanten Beilegungspfad für Vorfälle im Bereich 1-20 Mio. $ wird.

Quellen & On-Chain-Belege

  1. [01]decrypt.cohttps://decrypt.co/355132/ethereum-defi-platform-makina-hit-by-flash-loan-exploit-loses-4m-in-eth
  2. [02]medium.comhttps://medium.com/coinmonks/makinas-4m-hack-8afca700c00c
  3. [03]quillaudits.comhttps://www.quillaudits.com/blog/hack-analysis/makina-4m-hack-explained

Verwandte Einträge