Целевая атака с использованием Flash Loan выявляет слабые места в ликвидности стейблкоинов

Эксплойт на сумму 4,2 миллиона долларов DUSD был точечной атакой с использованием флеш-лизинга, которая манипулировала краткосрочными предположениями о ценах, истощая один пул Curve без ущерба для более широкой системы стейблкоинов.

Инцидент подчеркивает повторяющуюся уязвимость DeFi, когда глубокая ликвидность и зависимость от оракулов могут стать уязвимыми при экстремальных, краткосрочных дисбалансах капитала.

Хотя быстрое реагирование Makina ограничило распространение последствий, событие подтверждает, что риск LP в пулах стейблкоинов структурно отличается от простого риска владения токенами.

Целенаправленная атака с использованием флеш-лизинга на пул DUSD/USDC Curve Makina показывает, как ликвидность стейблкоинов, дизайн оракулов и флеш-ликвидность могут объединиться для создания концентрированного риска для LP.

ИНЦИДЕНТ

Рано утром 20 января целенаправленная атака с использованием флеш-лизинга истощила примерно 4,2 миллиона долларов из пула ликвидности DUSD/USDC на Curve, что стало одним из самых технически точных эксплойтов стейблкоинов начала 2026 года и подчеркнуло, что, несмотря на мощь композиции, она продолжает создавать поверхности для атак, когда зависимости от оракулов и предположения о ликвидности не совпадают идеально.

DUSD, мультицепочный стейблкоин, выпущенный Makina Finance, не был атакован через его основной механизм эмиссии–выкупа, а через один ликвидный пункт, где злоумышленник взял взаймы примерно $280 миллионов USDC с помощью флеш-лизингов, временно исказил цены, основанные на оракуле, завысил видимую стоимость позиции ликвидности и вывел доступные активы пула до того, как система смогла восстановить равновесие, в итоге уйдя с средствами, эквивалентными примерно 1299 ETH на момент эксплойта.

Ключевым моментом является то, что инцидент не повлиял на более широкую поставку DUSD или пользователей, просто держащих DUSD, позиции Pendle или Gearbox, — это отличие, подчеркнутое Makina в пост-инцидентных коммуникациях, однако скорость и точность истощения сделали очевидным, что даже хорошо изолированные пулы могут стать единственными точками отказа, когда капитал, оракульная задержка и флеш-ликвидность пересекаются.

КАК РАБОТАЛА АТАКА

На техническом уровне эксплойт следовал все более знакомому паттерну для исследователей безопасности DeFi, но с выполнением, уточненным для узкой цели: за счет введения огромного, краткосрочного объема USDC в пул DUSD/USDC Curve злоумышленник смог манипулировать предположениями о ценах, на которых основывалась логика, создавая иллюзию избытка ликвидности и позволяя получать прибыль от арбитража в рамках одной транзакции.

Поскольку флеш-лизинги не требуют предварительного капитала и должны быть возвращены в рамках одного блока, злоумышленник нес минимальный риск направления, вместо этого эксплуатируя временное искажение цен — класс уязвимостей, который неоднократно проявлялся в DeFi, когда пулы зависят от ценовых потоков, которые могут быть искажены краткосрочными дисбалансами, а не взвешенными по времени или агрегированными из нескольких источников.

Результатом стало не системное разрушение, а чистое извлечение: примерно 5,1 миллиона долларов в эквиваленте USDC, как позднее сообщил Makina, было выведено из пула, оставляя поставщиков ликвидности полностью уязвимыми, в то время как более широкая инфраструктура протокола осталась целой.

КОНТРОЛЬ И РЕАГИРОВАНИЕ

Реакция Makina отличалась скоростью и масштабом, что отражает уроки, извлеченные из предыдущих кризисов DeFi: команда сразу подтвердила, что эксплойт ограничен пулом Curve DUSD/USDC, выполнила снимок балансов поставщиков ликвидности до атаки и активировала режим восстановления, который позволил пострадавшим LP выводить средства в DUSD в одностороннем порядке, пока оцениваются долгосрочные меры по исправлению ситуации.

В публичных заявлениях, опубликованных 21 января, Makina указала, что выявила зацепки, связанные с ончейн-личностью злоумышленника, и активно пытается связаться с ним, а также пообещала возобновить функции выкупа и предоставить альтернативные пути выхода для поставщиков ликвидности после внедрения мер защиты, что направлено на предотвращение паники и распространения последствий на другие площадки.

Этот подход резко контрастирует с ранними инцидентами в DeFi, когда задержки в коммуникации и неясный масштаб усиливали потери, и подчеркивает, что операционная зрелость — а не абсолютная защита от эксплойтов — стала ключевым фактором среди протоколов, управляющих инфраструктурой стейблкоинов.

РЫНКОВЫЕ СИГНАЛЫ И ПАМЯТЬ О ЛИКВИДНОСТИ

Что делает эпизод с DUSD особенно поучительным, так это контраст между этим эксплойтом и предыдущей историей ликвидности DUSD: всего за несколько месяцев до этого, в сентябре 2025 года, пара DUSD/USDT на PancakeSwap возглавила рейтинг TVL платформы с $129 миллионами, с объемом за 24 часа в 82,11 миллиона долларов и $439 миллионами за семь дней, позиционируя DUSD как одну из наиболее активно используемых пар стейблкоинов в определенных торговых экосистемах.

Этот исторический контекст важен, потому что он показывает, как глубина ликвидности, часто воспринимаемая как признак стабильности, также может стать магнитом для точечных атак, когда капитал достаточно сконцентрирован, а экономические стимулы совпадают, особенно в пулах, где предполагается паритет стейблкоинов, а не постоянное стресс-тестирование.

В этом смысле эксплойт не отменяет статус DUSD как стейблкоина, но подтверждает повторяющийся урок DeFi: ликвидность не равна безопасности, и самые устойчивые под нормальными условиями пулы могут стать оптимальными целями в условиях противодействия.

БОЛЕЕ ОБЩИЙ УРОК СТЕЙБЛКОИНОВ

Помимо непосредственных потерь, атака с флеш-лизингом на DUSD подчеркивает структурную проблему, с которой сталкиваются on-chain стейблкоины при масштабировании через цепочки и протоколы: в то время как композиция обеспечивает быстрый рост и эффективность капитала, она также создает сложные графы зависимостей, в которых локальные сбои могут привести к непропорциональным последствиям для определенных групп пользователей.

По мере того как регуляторы, институты и инфраструктурные провайдеры все больше рассматривают стейблкоины не только как инструменты, но и как слои платежей и расчетов, такие инциденты как этот усиливают различие между платежеспособностью протокола и риском на уровне площадки, нюанс, который часто игнорируют пользователи, ищущие доход в пулах ликвидности, не учитывая полностью дизайн оракулов, механизмы вывода средств или сценарии противодействия.

Тот факт, что держатели DUSD вне пострадавшего пула остались невредимыми, в конечном итоге может сыграть в пользу Makina, однако этот эпизод подтверждает, что следующая фаза стабильности DeFi будет зависеть меньше от показателей TVL и больше от того, как протоколы проектируют свои слабые места, особенно там, где сталкиваются флеш-ликвидность и ценовое открытие.

Подробнее:

Что такое флеш-лизинги? Руководство для начинающих

От флеш-лизингов к глобальному банку: история Aave

〈Целенаправленная атака с использованием флеш-лизинга выявляет слабые места в ликвидности стейблкоинов〉 Эта статья впервые опубликована на CoinRank.