Ciberataque en Makina: Un nuevo actor recupera 900 ETH
Un intento de explotación contra el protocolo de finanzas descentralizadas (DeFi) Makina finalizó de manera inusual. El 20 de enero, el atacante original no logró quedarse con los fondos, pues otro actor, un buscador de MEV (valor máximo extraíble), ejecutó la misma estrategia antes que él y se apoderó de la mayor parte del botín.
El ataque, dirigido al pool DUSD/USDC del protocolo Curve, involucró un total de 1.299 ETH, equivalente a aproximadamente 3,7 millones de USD. El equipo de Makina detalló que la explotación se desarrolló en un periodo de sólo 11 minutos.
El hacker inicial realizó un préstamo instantáneo para manipular el precio del oráculo del pool DUSD/USDC, inflando así el valor de los activos involucrados. Esta manipulación permitió extraer grandes cantidades de USDC a un tipo de cambio alterado.
Sin embargo, la acción del búsquedor de MEV, al descompilar el contrato del atacante original y replicar su estrategia, resultó en que los fondos terminara en su posesión, junto con los actores que validaron el bloque en cuestión.
De los 1.299 ETH implicados, cerca de 920 ETH han sido recuperados, tras el acuerdo del buscador de MEV con Makina, que reconoció que el monto sería devuelto con una reducción del 10% como recompensa para un programa de hackers éticos. La recuperación se canaliza a través de una wallet multifirma y se distribuirá entre los usuarios afectados.
A pesar de estas recuperaciones, aún queda pendiente recuperar aproximadamente 276 ETH que fueron transferidos a un validador de Rocket Pool. Makina continúa intentando contactar al operador de este validador para completar el proceso de restitución.
El incidente fue atribuido a un desliz en un script interno utilizado para la contabilidad de posiciones, el cual ahora está siendo corregido y sometido a auditoría. Makina planea implementar un parche antes de reanudar completamente sus operaciones.