MakinaFi diserang serangan pinjaman kilat! 1299 ETH dicuri, robot MEV membagi hasil

MakinaFi pada 20 Januari mengalami serangan flash loan, kehilangan 1.299 ETH (sekitar 4,1 juta dolar AS). Peretas memanipulasi Curve pool untuk arbitrase, dan robot MEV mendapatkan bagian awal sebesar 0.13 ETH. Dana yang dicuri masih disimpan di dua dompet dan belum dicampur.

Uraian lengkap proses serangan flash loan MakinaFi

Platform pengelolaan hasil dan aset DeFi Makina Finance mengalami celah keamanan besar. Pada 20 Januari, peretas menyerang salah satu pool stablecoin mereka, mencuri sekitar 1.299 ETH, yang berdasarkan harga saat ini bernilai sekitar 4,1 juta dolar AS. Serangan ini awalnya dilaporkan oleh perusahaan keamanan blockchain PeckShield. Dalam beberapa menit, pelacak on-chain menemukan dana yang dicuri, yang disimpan di dua dompet.

Target serangan ini adalah pool dana DUSD/USDC Curve milik MakinaFi. Secara spesifik, pool ini dibangun di atas Curve Finance, menghubungkan token hasil Dialectic DUSD dan USDC. Serangan ini menggunakan metode klasik serangan flash loan. Artinya, pelaku meminjam sejumlah besar kripto dalam hitungan detik, lalu memanipulasi harga dengan dana tersebut, dan dalam satu transaksi mengosongkan pool serta melunasi pinjaman.

Langkah-langkah serangan flash loan MakinaFi

Langkah 1: Meminjam sejumlah besar USDC dan ETH dari Aave dan Morpho

Langkah 2: Melakukan serangkaian pertukaran token di Curve dan Uniswap untuk memanipulasi harga

Langkah 3: Memanfaatkan ketidakseimbangan harga untuk mendapatkan token dengan nilai jauh di atas nilai sebenarnya

Langkah 4: Melunasi pinjaman flash loan dan mengambil keuntungan sebesar 1.299 ETH

Ringkasan kejadian: Pelaku meminjam dana dari protokol seperti Aave dan Morpho, lalu melakukan serangkaian pertukaran token di Curve dan Uniswap. Dengan memanipulasi harga di pool, mereka berhasil mendapatkan token dengan nilai jauh melebihi nilai seharusnya. Akhirnya, mereka mencuri 1.299 ETH. Seluruh proses serangan ini selesai dalam satu blok, ciri khas serangan flash loan.

Prinsip dasar dari flash loan adalah memanfaatkan sifat atomik dari transaksi di DeFi. Di Ethereum, satu transaksi bisa berisi banyak langkah operasi, yang semuanya harus berhasil atau gagal sekaligus. Pelaku memanfaatkan fitur ini untuk melakukan pinjaman, serangan, arbitrase, dan pelunasan dalam satu transaksi tanpa memerlukan jaminan. Jika ada langkah yang gagal, seluruh transaksi dibatalkan, dan pelaku tidak kehilangan dana (hanya biaya gas). Mode serangan tanpa risiko ini menjadikan flash loan alat utama para peretas DeFi.

Robot MEV bahkan harus bersaing dengan peretas dan membagi hasilnya

Ini bukan sekadar peretas yang mendapatkan uang. Ada juga robot MEV yang turut berpartisipasi. Robot MEV akan memindai blockchain mencari transaksi yang menguntungkan dan berusaha memprosesnya lebih dulu. Dalam kasus ini, sebuah alamat MEV yang diawali 0xa6c2 menyisipkan transaksi ke dalam paket transaksi dan mendapatkan bagian keuntungan kecil. Mereka hanya mendapatkan sekitar 0.13 ETH. Tapi ini sudah cukup menunjukkan betapa padat dan kompetitifnya transaksi di Ethereum.

MEV (Maximal Extractable Value) adalah fenomena unik di blockchain. Penambang atau validator bisa mendapatkan keuntungan tambahan dengan mengatur ulang, menyisipkan, atau meninjau transaksi dalam blok. Robot MEV secara khusus mencari peluang ini, misalnya dengan menyisipkan transaksi mereka sebelum transaksi besar (front-running), atau dengan melakukan arbitrase begitu peluang muncul.

Dalam serangan MakinaFi, robot MEV mendeteksi transaksi serangan dari peretas dan menilai bahwa transaksi tersebut menguntungkan. Mereka kemudian membayar biaya gas lebih tinggi untuk menyisipkan transaksi mereka lebih dulu, dan mendapatkan bagian dari keuntungan serangan tersebut. Fenomena “peretas didahului MEV” ini penuh humor gelap, tetapi juga mengungkap kompleksitas dan tingkat persaingan di ekosistem Ethereum. Bahkan peretas kini harus bersaing dengan robot untuk mendapatkan keuntungan. Dunia kripto benar-benar menjadi tempat yang keras.

PeckShield dalam laporannya menyebutkan: “Peretas memanfaatkan MEV Builder (0xa6c2…) untuk melakukan serangan lebih dulu.” Ungkapan ini sangat ironis—biasanya robot MEV yang menyisipkan transaksi pengguna, tetapi dalam kasus ini, robot MEV yang menyisipkan transaksi serangan dari peretas. Fenomena transaksi yang saling mendahului ini (peretas didahului protokol, MEV mendahului peretas) menunjukkan betapa kompleksnya permainan di atas rantai.

Arah dan kesulitan pelacakan dana yang dicuri

Ethereum yang dicuri saat ini disimpan di dua dompet: 0xbed2…dE25 memegang sekitar 3,3 juta dolar, dan 0x573d…910e sekitar 880 ribu dolar. Sampai saat ini, dana tersebut belum dipindahkan ke alat privasi atau melalui transaksi lintas rantai. Ini memberi peluang bagi penyelidik untuk melacak setiap transaksi.

Perusahaan keamanan seperti PeckShield, ExVul, dan TenArmor telah memperingatkan pengguna untuk mencabut izin kontrak dan sementara menghindari interaksi dengan kontrak MakinaFi. Mencabut izin kontrak berarti membatalkan akses yang sebelumnya diberikan ke kontrak pintar MakinaFi untuk mengelola dana pengguna. Dalam DeFi, saat berinteraksi dengan protokol, biasanya pengguna memberi izin agar protokol dapat mengoperasikan token mereka. Jika protokol diserang atau ada celah, izin ini bisa disalahgunakan.

MakinaFi belum mengeluarkan pernyataan resmi. Diamnya mungkin karena tim sedang menilai kerugian dan menyusun langkah penanganan, tetapi kurangnya komunikasi cepat dapat memperburuk kepanikan dan ketidakpercayaan pengguna. Dalam insiden keamanan DeFi, komunikasi yang cepat dan transparan sangat penting. Tim harus segera mengonfirmasi kejadian, menjelaskan dampaknya, menawarkan langkah perlindungan, dan mengumumkan perkembangan penyelidikan.

Dana yang belum dicampur adalah sinyal positif. Peretas biasanya akan segera memindahkan dana hasil curian ke alat privasi (seperti Tornado Cash) atau lintas rantai ke blockchain lain untuk mengaburkan jejak. Saat ini dana masih di dompet asli, yang mungkin berarti peretas menunggu waktu yang tepat (misalnya menunggu perhatian berkurang), atau mencari jalur pencucian terbaik. Masa tenggang ini memberi peluang bagi penegak hukum dan hacker putih untuk melakukan intervensi.

Pelajaran keras bagi pengguna DeFi dan saran perlindungan

Pada 20 Januari, menurut pernyataan resmi MakinaFi, platform menerima laporan dugaan insiden keamanan di pool Curve mereka. Saat ini, masalah awalnya hanya mempengaruhi posisi likuiditas DUSD, sementara aset dan deployment lain belum menunjukkan keanehan. Sebagai langkah pencegahan, platform telah mengaktifkan mode aman di semua Mesin, dan menyarankan penyedia likuiditas DUSD segera menarik dana. Mereka sedang menyelidiki dampak kejadian ini dan akan mengumumkan perkembangan serta solusi selanjutnya.

MakinaFi dikenal karena menawarkan strategi hasil tinggi berbasis alat DeFi seperti Curve, Aave, dan Uniswap. Token DUSD mereka bertujuan menghasilkan hasil melalui strategi cerdas di chain. Tapi serangan ini mengungkapkan kenyataan pahit: bahkan sistem DeFi yang rumit dan dirancang matang tetap rentan. Serangan flash loan tetap menjadi salah satu metode paling umum peretas mencuri dana.

Pool stablecoin sering menjadi target utama karena memiliki likuiditas besar. Pada 2025 dan awal 2026, serangan peretas DeFi telah menyebabkan kerugian miliaran dolar bagi pengguna. Pelajaran utamanya: jika dana Anda ada di chain, selalu berisiko. Perkembangan DeFi cepat, dan aksi peretas pun lebih cepat. Oleh karena itu, kejadian ini kembali memicu kekhawatiran terhadap risiko platform DeFi pada 2026. Ini bukan sekadar gangguan kecil, tetapi serangan yang bersih, cepat, dan efektif.

$DUSD # Lima langkah perlindungan bagi pengguna DeFi

Cabut izin secara rutin: Periksa dan cabut izin dari protokol yang tidak lagi digunakan

Sebarkan dana: Jangan simpan semua dana di satu protokol

Pilih protokol yang sudah diaudit: Utamakan platform yang telah melalui audit keamanan berkali-kali

Ikuti peringatan keamanan: Pantau peringatan dari perusahaan keamanan seperti PeckShield

Pahami risikonya: Sadari bahwa hasil tinggi biasanya disertai risiko tinggi

Secara makro, insiden serangan MakinaFi adalah gambaran dari krisis keamanan DeFi tahun 2026. Meskipun teknologi terus maju dan alat keamanan semakin lengkap, metode peretas juga berkembang. Serangan flash loan, re-entrancy, manipulasi harga, serangan governance, dan lain-lain terus bermunculan. Untuk proyek DeFi, keamanan bukan sekadar audit sekali, tetapi perjuangan berkelanjutan dan peningkatan. Bagi pengguna, menyadari risiko fundamental DeFi dan tidak tergoda hasil tinggi secara buta adalah langkah pertama melindungi aset.