Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 259Ataque con flash loan

Vaciado de MachineShareOracle en Makina

$4,13 M extraídos del pool DUSD/USDC de Makina vía manipulación de MachineShareOracle con préstamo flash; white-hat recuperó 89% en una semana.

Fecha
Víctima
Makina
Cadena(s)
Ethereum
Estado
Parcialmente recuperado

El 20 de enero de 2026, el protocolo on-chain de rendimiento y gestión de activos Makina perdió aproximadamente $4,13 millones cuando un atacante manipuló el MachineShareOracle que reportaba precios de participación al pool stableswap Dialectic USD (DUSD) / USDC de Curve. El atacante usó $280 millones en préstamos flash con $170 millones desplegados específicamente para mover la lectura del oráculo. Tras la negociación white-hat bajo la política SafeHarbor, el 89% de los usuarios afectados recuperó totalmente sus fondos en una semana.

Qué ocurrió

Makina operaba "Machines" — bóvedas automatizadas de gestión de rendimiento que se integraban con protocolos DeFi externos (Curve, Aave, otros) para desplegar capital de usuario. El precio de participación de cada Machine se calculaba mediante un MachineShareOracle que reportaba los activos bajo gestión al pool Curve donde los usuarios proporcionaban liquidez.

La falla fatal: el cálculo de AUM del MachineShareOracle leía el estado del pool desde integraciones externas de Curve sin validación. Manipulando el estado del pool externo, un atacante podía empujar el precio reportado por el oráculo a valores incorrectos — lo que luego afectaba cómo el pool Curve de Makina valoraba los depósitos y retiros de usuarios.

El ataque:

  1. Tomó un préstamo flash de $280 M en USDC.
  2. Desplegó aproximadamente $170 M en los pools Curve desde los que leía el MachineShareOracle, distorsionando el estado del pool para inflar artificialmente el AUM que reportaría Makina.
  3. El MachineShareOracle reportó el AUM inflado, empujando hacia arriba el precio de participación del pool Curve DUSD/USDC.
  4. Depositó e inmediatamente retiró posiciones en Makina al precio de participación inflado, extrayendo más de lo que depositó.
  5. Reembolsó el préstamo flash y se marchó con un beneficio aproximado de $4,13 M.

Consecuencias

  • El equipo de Makina activó el "modo seguridad" en todas las Machines, pausando operaciones para prevenir más pérdidas.
  • Aconsejó a los LP retirar a un solo lado a DUSD desde el pool afectado mientras se realizaba la remediación.
  • El equipo tomó snapshots on-chain pre-exploit para los cálculos de compensación.
  • Coordinó con SEAL911, ChainSecurity, EnigmaDarkLabs y Cantina para la revisión del incidente.
  • Ofreció al atacante una recompensa del 10% (hasta 102,3 ETH) a través de la política SafeHarbor WhiteHat.
  • El atacante aceptó la oferta: se recuperaron más de $3,65 M y el 89% de los usuarios fue resarcido totalmente en una semana.
  • El protocolo reanudó las operaciones normales completas el 26 de enero de 2026 — solo seis días tras el exploit.

Por qué importa

El incidente de Makina es uno de los casos más limpios de 2026 sobre cómo un proceso de respuesta a incidentes bien arquitectado puede convertir un exploit significativo en un evento operativo contenido. La política SafeHarbor WhiteHat a la que Makina se había comprometido previamente — incluida la estructura de recompensa y los términos de protección legal — proporcionó al atacante un camino creíble hacia la resolución white-hat, que tomó.

Las lecciones estructurales:

  1. Las políticas estilo SafeHarbor merecen cada vez más comprometerse de antemano en lugar de negociarse en medio de un incidente. La elección del atacante entre "blanquear $4 M con riesgo de enjuiciamiento" y "aceptar $400 K de recompensa con protección frente al enjuiciamiento" se desplaza significativamente cuando la política está claramente documentada y lista para ejecutarse en lugar de improvisada.

  2. Las integraciones de oráculo con pools externos deben validar contra manipulación — el modo de fallo del MachineShareOracle de Makina fue leer el estado del pool sin considerar que el pool era externo y manipulable. Los patrones defensivos modernos incluyen leer desde múltiples pools, aplicar agregación ponderada por tiempo y limitar el movimiento del oráculo por bloque.

  3. La línea de tiempo de 6 días "exploit-a-recuperación-total" es una de las más rápidas documentadas para un incidente DeFi de más de $4 M. La combinación de proceso preconstruido claro, ruta white-hat funcional y socios de respuesta a incidentes involucrados (SEAL911 et al.) lo hizo posible. Los protocolos que no preinstalan estas capacidades tardan semanas o meses en obtener resultados similares.

Makina se une a la creciente categoría 2025-2026 de "exploit a escala media, recuperación rápida vía white-hat negociado" — un patrón que se está convirtiendo en la ruta dominante de resolución para incidentes en el rango de $1 M-$20 M.

Fuentes y evidencia on-chain

  1. [01]decrypt.cohttps://decrypt.co/355132/ethereum-defi-platform-makina-hit-by-flash-loan-exploit-loses-4m-in-eth
  2. [02]medium.comhttps://medium.com/coinmonks/makinas-4m-hack-8afca700c00c
  3. [03]quillaudits.comhttps://www.quillaudits.com/blog/hack-analysis/makina-4m-hack-explained

Registros relacionados