Уязвимость MakinaFi привела к потере 4,1 млн долларов, поскольку боты MEV опережают сделки

Makina Finance, DeFi-платформа для управления доходностью и активами, подверглась крупному взлому. 20 января хакеры атаковали один из ее пулов стейблкоинов. Было похищено около 1 299 ETH — примерно на $4,1 млн по текущим ценам.

#PeckShieldAlert @makinafi has been exploited for ~1,299 $ETH (~$4.13M).

The hacker was frontrun by MEV Builder (0xa6c2…).

The stolen funds are currently held in 2 addresses:
0xbed2…dE25 ($3.3M) & 0x573d…910e ($880K) pic.twitter.com/Q5WzHpfq7j

— PeckShieldAlert (@PeckShieldAlert) January 20, 2026

О взломе первой сообщила компания по блокчейн-безопасности PeckShield. Уже через несколько минут ончейн-трекеры зафиксировали размещение украденных средств в двух кошельках. Инцидент вновь поднял вопрос о рисках DeFi-платформ — даже в 2026 году. Причем речь идет не о мелком сбое, а о четко проведенной и быстрой атаке.

Что именно произошло?

Атака была направлена на пул DUSD/USDC MakinaFi в Curve. Этот пул построен на Curve Finance и связывает доходный токен Dialectic — DUSD — со стейблкоином USDC. Хакер использовал классическую атаку с флэш-кредитом. То есть на несколько секунд был заимствован крупный объем криптовалюты, который затем использовали для ценовой манипуляции. После этого пул был опустошен, а кредит погашен — все в рамках одной транзакции.

В упрощенном виде схема выглядела так: злоумышленник занял средства через протоколы Aave и Morpho, затем провел серию свопов на Curve и Uniswap. Манипулируя ценами внутри пула, он смог вывести больше стоимости, чем позволяли условия. В итоге хакер вывел 1 299 ETH.

В дело вмешались MEV-боты

На этом заработал не только хакер. В транзакцию вмешался и MEV-бот. Такие боты сканируют блокчейн в поиске прибыльных сделок и пытаются их фронтранить. В данном случае MEV-билдер с адреса, начинающегося на 0xa6c2, вклинился в пакет транзакций и забрал небольшую часть прибыли — около 0,13 ETH. Сумма невелика, но это наглядно показывает, насколько плотной и агрессивной стала торговля в сети Ethereum. Даже хакерам приходится конкурировать с ботами. Крипторынок по-прежнему напоминает дикий запад.

Где сейчас украденные средства?

Похищенный ETH находится в двух кошельках:

0xbed2…dE25 — около $3,3 млн

0x573d…910e — около $880 тыс.

На данный момент средства не были перемешаны и не проходили через инструменты приватности. Это дает следователям возможность отслеживать их дальнейшее движение. Компании по безопасности, включая PeckShield, ExVul и TenArmor, предупредили пользователей о необходимости отозвать разрешения смарт-контрактов и временно не взаимодействовать с контрактами MakinaFi. Официального заявления от Makina пока не поступало.

Почему это важно для пользователей DeFi

MakinaFi известна продвинутыми стратегиями доходности с использованием таких DeFi-инструментов, как Curve, Aave и Uniswap. Токен DUSD задуман как источник дохода за счет ончейн-стратегий. Однако атака показывает жесткую реальность: даже сложные и продуманные DeFi-системы остаются уязвимыми. Атаки с флэш-кредитами по-прежнему остаются одним из самых распространенных способов кражи средств.

Пулы стейблкоинов часто становятся главной целью из-за высокой ликвидности. В 2025 году и начале 2026-го взломы в DeFi уже обошлись пользователям в миллиарды долларов. Вывод прост. Если ваши деньги находятся ончейн, риск остается всегда. DeFi развивается быстро. Хакеры — еще быстрее.