DeFi ha appena ricevuto un altro forte campanello d'allarme. Il 20 gennaio 2026, Makina Finance, una rinomata piattaforma di gestione dei rendimenti e degli asset, ha subito un exploit critico che ha portato al furto di circa 1,299 $ETH (valutati tra $4.1M e $4.2M).
Non si trattava di una chiave privata trapelata o di una truffa di phishing: era ingegneria finanziaria armata.
Le meccaniche del furto 📉
L'attaccante ha eseguito un classico Flash Loan Attack, una tecnica che consente agli utenti di prendere in prestito enormi quantità di capitale senza garanzie, a condizione che lo restituiscano all'interno dello stesso blocco di transazione.
Ecco come è avvenuto il drenaggio:
Il Prestito: L'attaccante ha sfruttato protocolli come Aave e Morpho per prendere in prestito una liquidità pesante.
La Manipolazione: Utilizzando questi fondi, hanno manipolato i prezzi tramite scambi su Curve e Uniswap.
Il Drenaggio: Il pool DUSD/USDC Curve è stato svuotato in un'unica transazione prima che il prestito fosse rimborsato.
Curiosamente, un bot MEV (Maximum Extractable Value) è riuscito persino a anticipare l'exploit, guadagnando un piccolo profitto di 0.13 ETH mentre l'attaccante divideva il enorme bottino di ~$4.2M in due wallet separati.
Azione Immediata Richiesta 🛡️
Makina Finance ha ufficialmente esortato tutti gli utenti a ritirare fondi immediatamente dal pool DUSD Curve. Mentre hanno attivato la "modalità di sicurezza" su altre macchine e affermano che il problema è isolato a DUSD, la fiducia è fragile.
Aziende di sicurezza come PeckShield e TenArmor raccomandano un passo ulteriore: Revocare i permessi di contratto associati al protocollo per prevenire ulteriori drenaggi non autorizzati.
Le Conseguenze
Adesso, i fondi rubati (~$3.3M in un wallet, ~$880K in un altro) non sono stati trasferiti su scambi centralizzati o mixer di privacy come Tornado Cash. I fondi rimangono fermi—il monitoraggio continua.
Questo incidente evidenzia che, nonostante la maturità del ciclo 2025–2026, le vulnerabilità dei prestiti flash nei pool di stablecoin rimangono un vettore principale per gli exploit DeFi.
I tuoi permessi di contratto vengono regolarmente auditati, o semplicemente "imposti e dimenticati"? 👇