Атака на Flash Loan протоколу Makina: коли швидкість зустрічає вразливість

Сектор DeFi продовжує стикатися з повторюваними кошмарами: протоколи стають жертвами складних експлойтів, що за кілька хвилин зливають мільйони доларів. На початку 2025 року протокол Makina став останньою жертвою, коли зловмисники здійснили атаку на його пул DUSD/USDC за допомогою флеш-ліонів, що призвело до втрат приблизно 5 мільйонів доларів. Розслідування компанії з безпеки CertiK виявило атаку, яка, хоча й була руйнівною в короткостроковій перспективі, розкриває знайому історію про постійні прогалини у безпековій інфраструктурі DeFi.

Витік у розмірі 5 мільйонів доларів за заголовками

Інцидент з Makina — це більше ніж просто ще один випадок зломів. На момент атаки протокол мав загальну заблоковану вартість (TVL) приблизно 100,49 мільйонів доларів, тож витік у 5 мільйонів становив значну частку одного конкретного пулу. Наслідки швидко поширилися — рекомендація протоколу для провайдерів ліквідності вивести залишки коштів викликала тривогу в екосистемі.

Що робить цей випадок особливо важливим, так це час і рівень складності. Зловмисник не проник у систему силою; він виконав обдуману, багатоступеневу операцію, яка використовувала відомі шаблони атак у DeFi. Внаслідок цього, команда Makina одразу закликала користувачів вивести ліквідність, що зазвичай передує різкому зниженню загальної TVL через втрату довіри.

Флеш-ліони як двосічна зброя у DeFi

Флеш-ліони займають захоплююче місце у світі DeFi. Це незабезпечені позики, які потрібно взяти і повернути протягом однієї транзакції у блокчейні, спочатку створені як інноваційні фінансові інструменти — для реалізації складних стратегій і капіталомістких операцій без початкових застав. Вони є законною інновацією.

Однак випадок Makina показує, як флеш-ліони стали зброєю для зловмисників. Зловмисник отримав значний капітал через флеш-ліони, використав його для штучного завищення цін і спотворення цінових даних, а потім отримав прибуток — все до повернення позичених коштів. Можливість миттєво отримати величезний капітал створює унікальну поверхню для атак, з якою традиційна фінансова система ніколи не стикалася.

Різниця важлива: самі флеш-ліони нейтральні. Проблема не у механізмі позик, а у тому, як протоколи взаємодіють із зовнішніми джерелами даних, коли ринкові умови стають ворожими. Саме тут виникає справжня вразливість.

Маніпуляція оракулами: ахіллесова п’ята DeFi

Під час атаки з використанням флеш-ліонів прихована ще одна більш фундаментальна слабкість — дизайн оракулів. Оракули виступають мостами між блокчейном і зовнішніми даними — вони надають смарт-контрактам інформацію з реального світу, наприклад, ціни криптовалют. Коли протокол залежить від одного оракула або погано спроектованої системи оракулів, він створює критичну точку відмови.

Атака Makina була зосереджена саме на цій вразливості. Зловмисник маніпулював ціновим оракулом, що керував пулом DUSD/USDC, створюючи тимчасові неточності у цінах. Через фальшиві дані протокол був витягнутий із активами, використовуючи цю штучну різницю.

Експерти з безпеки давно пропагують такі заходи:

• Децентралізовані мережі оракулів: агрегування цін з кількох незалежних джерел усуває єдину точку відмови
• Ціни за середнім за часом (TWAP): усереднення цін за фіксовані періоди робить короткострокові цінові сплески менш вразливими
• Каскадні обмежувачі (Circuit Breakers): автоматичні засоби, що зупиняють операції при високій волатильності

Вразливість протоколу Makina свідчить про недостатню реалізацію цих захисних механізмів — прогалину, яка обійшлася дорого.

Вчимося на історії: повторювані збої безпеки

Злом Makina не був ізольованим випадком. Сектор DeFi має повторювану схему подій. У 2022 році Beanstalk Farms втратив 182 мільйони доларів через складну атаку на управління та маніпуляцію оракулами. Наступного року Euler Finance зазнав збитків у 197 мільйонів доларів (згодом відшкодованих) через експлуатацію з використанням флеш-ліонів. У 2021 році Cream Finance зазнав втрат у 130 мільйонів доларів через техніки маніпуляції цінами і флеш-ліони.

Ці інциденти демонструють тривожну істину: спільнота безпеки добре розуміє вектори атак. CertiK, Trail of Bits, OpenZeppelin та інші провідні аудитори опублікували багато досліджень щодо вразливостей флеш-ліонів і оракулів. Проте успішні зломи продовжують траплятися, що свідчить про значну різницю між знаннями і впровадженням.

Останні великі атаки, пов’язані з оракулами:

| Протокол | Рік | Оцінювані збитки | Вектор атаки | Актив | |----------|------|------------------|--------------|--------| | Makina | 2025 | 5 мільйонів доларів | Флеш-ліон + Маніпуляція оракулом | DUSD/USDC | | Euler Finance | 2023 | 197М (відшкодовані) | Флеш-ліон + Атака через пожертви | Різні стабільні монети | | Beanstalk Farms | 2022 | 182 мільйони доларів | Управління + Маніпуляція оракулом | BEAN | | Cream Finance | 2021 | 130 мільйонів доларів | Флеш-ліон + Маніпуляція цінами | AMP |

Кожен успішний злом фактично стає шаблоном для майбутніх зловмисників. Вічна гонка озброєнь між розробниками, що впроваджують захисти, і зловмисниками, що вдосконалюють свої техніки, не має ознак сповільнення.

Чому реакція Makina важлива зараз

На даний момент команда Makina підтвердила, що розпочато розслідування, але надала мінімальні деталі. Така затримка у комунікації сама по собі важлива. У сучасній екосистемі DeFi прозорі розбори подій вже не є опцією — це стандарт галузі. Користувачі, аудитори та регулятори очікують детальних пояснень: що пішло не так, як вдалося здійснити експлойт і які заходи вживуть, щоб запобігти повторенню.

Мовчання протоколу створює вакуум, у який швидко заповнює скептицизм. Чи буде відшкодування користувачам? Які конкретні заходи безпеки будуть впроваджені? Без чітких відповідей команда ризикує ще більше втратити довіру. Наступні 30-60 днів стануть вирішальними для того, чи зможе Makina відновитися, чи цей злом стане кінцевою точкою для протоколу.

Ширше усвідомлення: безпека DeFi і регуляторний тиск

Злом Makina має значення далеко за межами одного протоколу. Це підсилює тривожну реальність: незважаючи на мільярди доларів у користувацьких коштах і роки зростаючої обізнаності щодо безпеки, протоколи DeFi продовжують зазнавати запобіжних зломів.

Ця тенденція неминуче приверне увагу регуляторів. Політики по всьому світу стежать за цими інцидентами. Кожен новий злом посилює аргумент на користь формального нагляду — можливі вимоги KYC, відповідальність розробників, обов’язкові стандарти аудиту або обмеження на безпередовий доступ. Швидкість і серйозність саморегуляції галузі визначать, чи прискорить зовнішнє регулювання цей процес.

Крім того, ця ситуація підкреслює необхідність у стандартизованих, перевірених механізмах безпеки. Протоколи, що використовують консервативні, доведені механізми замість ризикованих нововведень, отримують конкурентну перевагу саме тому, що уникають таких сценаріїв.

Висновок: пильність понад інновації

Злом Makina на 5 мільйонів доларів є гострим нагадуванням, що атаки з використанням флеш-ліонів, хоча й технічно вражаючі, — це вирішувані проблеми. Інфраструктура для безпеки оракулів існує. Розробники знають про TWAP, каскадні обмежувачі та децентралізовані мережі оракулів.

Що залишається недосяжним — це послідовна, сувора реалізація цих механізмів у всьому просторі DeFi. Цей злом не був неминучим; його можна було запобігти. Шлях протоколу Makina — включно з прозорістю щодо того, що сталося, зобов’язаннями щодо покращення безпеки та здатністю відновити довіру користувачів — покаже, чи справді галузь навчається на повторюваних помилках або просто повторює їх.

Щоб DeFi перетворився з експериментальної платформи у надійний фінансовий шар, захист коштів користувачів має виходити за межі маркетингових слоганів і ставати абсолютною, невід’ємною операційною реальністю.