Makina Finance bị khai thác flash loan khiến pool thanh khoản DUSD/USDC trên Curve bị rút sạch do oracle giá bị thao túng ngay trong một giao dịch.
Sự cố cho thấy rủi ro khi nguồn dữ liệu giá on-chain có thể bị đẩy lệch tạm thời, đặc biệt trong các pool thanh khoản mỏng. Dù Makina nói vấn đề chỉ nằm ở vị thế LP DUSD trên Curve, vụ việc vẫn làm nổi bật cách kẻ tấn công khai thác oracle để rút tài sản với tỷ giá “có lợi” giả tạo.
- Kẻ tấn công thao túng oracle giá cổ phần của pool DUSD/USDC trên Curve bằng flash loan, khiến pool chi trả vượt giá trị thực.
- Khoảng 1.299 ETH bị thất thoát từ pool, thời điểm đó tương đương khoảng 4,13 triệu USD; ước tính ~5,1 triệu USDC rời khỏi pool.
- Một MEV builder đã frontrun một phần giao dịch, làm thay đổi phân bổ giá trị trong quá trình khai thác.
Khai thác oracle làm cạn pool DUSD/USDC trên Curve
Cuộc tấn công nhắm vào nhà cung cấp thanh khoản không lưu ký của Makina trên pool DUSD/USDC của Curve, lợi dụng oracle giá để rút token ở tỷ giá bị thổi phồng trong cùng một giao dịch.
Theo phân tích của PeckShield, Makina Finance mất khoảng 1.299 ETH từ pool stablecoin trên Curve, được định giá khoảng 4,13 triệu USD tại thời điểm xảy ra sự cố. Điểm yếu nằm ở cơ chế dùng nguồn dữ liệu giá on-chain (oracle) để định giá trong CurveStable pool DUSD/USDC.
Oracle cung cấp thông tin bên ngoài cho smart contract, điển hình là giá tài sản. Nếu oracle bị thao túng trong khoảng thời gian rất ngắn (ngay giữa giao dịch), hợp đồng có thể “tin” vào dữ liệu sai và cho phép hoán đổi/rút tài sản theo mức giá không phản ánh thị trường.
Flash loan được dùng để bẻ cong dữ liệu oracle ngay trong giao dịch
Kẻ tấn công vay 280 triệu USDC bằng flash loan, sau đó dùng phần lớn số vốn này để tác động tới oracle báo giá cổ phần của pool, khiến dữ liệu bị lệch tạm thời và tạo điều kiện rút tiền.
Một kỹ sư bảo mật của CertiK cho biết đối tượng bắt đầu bằng việc vay 280 triệu USDC không cần tài sản thế chấp, với điều kiện hoàn trả trong cùng một giao dịch. Mô hình flash loan cho phép “mượn siêu lớn trong chớp mắt”, khiến những cơ chế định giá dựa vào trạng thái tức thời dễ bị lợi dụng.
Trong số USDC vay được, khoảng 170 triệu USDC được dùng để can thiệp vào MachineShareOracle, thành phần chịu trách nhiệm báo cáo giá “share” cho pool. Bằng cách bơm vốn mượn qua flash loan, kẻ tấn công tạm thời làm lệch dữ liệu giá và khiến hệ thống chấp nhận thông tin định giá không chính xác.
Pool thanh khoản mỏng bị khai thác khi swap 110 triệu USDC
Sau khi oracle báo giá bị thổi phồng, kẻ tấn công swap khoảng 110 triệu USDC vào một pool chỉ có khoảng 5 triệu USD thanh khoản, khiến pool chi trả quá mức và bị rút cạn.
Khi oracle bắt đầu báo các giá trị bị nâng lên, đối tượng hoán đổi xấp xỉ 110 triệu USDC với một pool chỉ nắm khoảng 5 triệu USD thanh khoản. Do pool “tin” rằng tài sản có giá trị cao hơn thực tế, nó đã trả ra nhiều hơn mức hợp lý, dẫn đến việc pool bị rút sạch.
“Oracle giá cổ phần đã bị đẩy ngay giữa giao dịch, khiến một pool trên Curve chi trả theo mức giá bị thổi phồng. Khoảng 5,1 triệu USDC rời khỏi pool DUSD/USDC, kẻ tấn công lãi khoảng 4,1 triệu.”
– Kỹ sư bảo mật, CertiK, trích dẫn trên X/2026
MEV builder frontrun khiến giá trị khai thác bị “cắt” khoảng 800.000 USD
Giao dịch khai thác bị một MEV builder frontrun một phần, khiến phần lớn giá trị rơi vào thực thể MEV thay vì địa chỉ của kẻ tấn công.
Sau khi lấy DUSD, kẻ tấn công đổi sang ETH và thực hiện nhiều giao dịch để gom và dịch chuyển tài sản. Tuy nhiên, theo CertiK, giao dịch khai thác đã bị frontrun một phần bởi một MEV builder.
MEV (maximal extractable value) là lợi nhuận mà block builder/validator có thể tối đa hóa bằng cách sắp xếp lại, chèn thêm hoặc kiểm duyệt giao dịch trước khi được xử lý on-chain. Trong vụ này, một thực thể MEV có tiền tố địa chỉ 0xa6c2 được cho là thu phần lớn giá trị khi sự cố diễn ra.
CertiK ước tính MEV builder đã chiếm khoảng 4,14 triệu USD trong tổng khoảng 5 triệu USD được rút từ pool stablecoin. Phần ETH còn lại được chia sang hai địa chỉ: một địa chỉ (0xbed) giữ khoảng 3,3 triệu USD bằng ETH, địa chỉ còn lại (0x573d) nắm khoảng 276 ETH.
Makina xác nhận sự cố và kêu gọi LP rút thanh khoản khỏi pool DUSD trên Curve
Makina thông báo sự cố dường như chỉ giới hạn ở vị thế LP DUSD trên Curve, đồng thời yêu cầu nhà cung cấp thanh khoản rút tiền trong khi dự án xác định bước xử lý tiếp theo.
Vào khoảng 13:42 (giờ Việt Nam) ngày thứ Ba, Makina Finance đăng thông báo trên X, thừa nhận vụ hack nhưng khẳng định vấn đề không ảnh hưởng đến toàn bộ hạ tầng của giao thức.
Dự án cho biết ở thời điểm công bố, sự cố có vẻ chỉ cô lập ở các vị thế LP DUSD trên Curve và “chưa có dấu hiệu” các tài sản hoặc triển khai khác bị tác động. Makina cũng đề nghị các nhà cung cấp thanh khoản trong pool DUSD trên Curve rút thanh khoản, trong lúc đội ngũ xác định “các bước tiếp theo phù hợp cho người dùng và LP bị ảnh hưởng”.
Bối cảnh rủi ro bảo mật crypto tiếp tục kéo dài sang 2026
Sự kiện flash loan/oracle này nối dài chuỗi sự cố bảo mật, sau một năm 2025 ghi nhận hơn 3 tỷ USD bị đánh cắp khỏi thị trường crypto.
Vụ tấn công diễn ra trong bối cảnh người dùng crypto kỳ vọng 2026 “yên ổn hơn”, sau một năm 2025 được mô tả là đặc biệt tồi tệ khi tổng giá trị bị đánh cắp vượt 3 tỷ USD.
Một báo cáo Web3 Security and Fraud Report từ Cyvers ghi nhận 108 sự cố liên quan gian lận và an ninh trong năm trước, cùng khoảng 16 tỷ USD tài sản crypto bị chiếm đoạt từ ít nhất 140 sàn giao dịch và nền tảng giao dịch.
Cyvers cũng báo cáo hơn 4,2 triệu giao dịch gian lận từ 780.000 địa chỉ và gần 19.000 mạng lưới gian lận đang hoạt động, liên quan đến các tài sản như USDT, ETH và USDC.
Những câu hỏi thường gặp
Makina Finance bị hack theo cơ chế nào?
Kẻ tấn công dùng flash loan để bơm vốn lớn trong một giao dịch, thao túng oracle báo giá “share” của pool DUSD/USDC trên Curve, khiến pool định giá sai và chi trả token theo tỷ giá bị thổi phồng.
Thiệt hại của vụ khai thác Makina là bao nhiêu?
PeckShield ước tính Makina mất khoảng 1.299 ETH từ pool stablecoin trên Curve, trị giá khoảng 4,13 triệu USD tại thời điểm đó. Trích dẫn từ CertiK nêu khoảng 5,1 triệu USDC rời khỏi pool và lợi nhuận ước khoảng 4,1 triệu.
MEV builder liên quan gì trong vụ này?
Một MEV builder đã frontrun một phần giao dịch khai thác, và theo ước tính của CertiK, thực thể MEV đã chiếm khoảng 4,14 triệu USD trong tổng số khoảng 5 triệu USD được rút khỏi pool, làm thay đổi phần giá trị mà kẻ tấn công có thể thu về.
Makina nói gì về phạm vi ảnh hưởng của sự cố?
Makina cho biết sự cố có vẻ chỉ giới hạn ở các vị thế LP DUSD trên Curve và chưa có chỉ dấu các tài sản hoặc triển khai khác bị ảnh hưởng. Dự án cũng kêu gọi LP rút thanh khoản để chờ các bước xử lý tiếp theo.