Une importante faille de sécurité frappe Makina Finance : 5 millions de dollars siphonnés lors d'une attaque de prêt éclair

Mécanisme d’attaque sophistiqué

Selon CertiK, l'attaquant a ciblé le pool de stablecoins DUSD/USDC Curve de Makina Finance. L'opération a débuté par un flash loan de 280 millions d’USDC. Environ 170 millions d’USDC ont servi à créer un déséquilibre temporaire dans le MachineShareOracle, qui était lié à la tarification du pool. Après cette manipulation, l'attaquant a échangé les 110 millions d’USDC restants dans le pool principal, épuisant la majorité de ses actifs, évalués à environ 5 millions de dollars.

Différentes sociétés de sécurité ont rapporté des estimations variées de l'impact financier de l'attaque. GoPlus Security a calculé la perte à environ 5,1 millions de dollars, tandis que PeckShield a indiqué que les actifs retirés étaient équivalents à 4,13 millions de dollars en ETH. Un point clé souligné dans le rapport de CertiK fut l’intervention d’un MEV builder lors des transactions, qui a saisi une part importante des fonds. Environ 4,14 millions de dollars ont été capturés par l’infrastructure MEV, devançant ainsi l’attaquant.

Makina Finance, fondée en février 2025, propose des coffres stratégiques de niveau institutionnel et fonctionne comme un moteur d’exécution DeFi. Selon DefiLlama, la plateforme détenait une valeur totale d’actifs bloqués de 100,49 millions de dollars au moment de l’incident.

Réaction rapide de Makina Finance

Suite à l’attaque, Makina Finance n’a pas immédiatement confirmé la faille via ses canaux officiels. La première communication est apparue sur leur serveur Discord mardi matin, reconnaissant les discussions publiques tout en vérifiant les détails. Un second message, publié environ deux heures plus tard, précisait que le problème semblait limité aux positions de fournisseurs de liquidité DUSD sur Curve, conseillant aux fournisseurs de retirer leurs fonds. Cependant, aucune reconnaissance explicite de la perte n’a été formulée.

L’attaque s’inscrit dans un schéma d’incidents croissants dans le secteur crypto tout au long de 2025. Chainalysis a rapporté plus de 3,41 milliards de dollars de vols de cryptomonnaies cette année, des acteurs liés à la Corée du Nord étant des contributeurs notables, revendiquant une part sans précédent de 2,02 milliards de dollars.

L’incident Makina Finance souligne le risque systémique continu posé par les opérations flash loan à grande échelle au sein des protocoles DeFi fortement dépendants des oracles.