Máquina Atacada $4,13 Milhão: Como Ordenar os Rastros de Ataques Flash Loan e MEV no Ecossistema DeFi

Terça-feira de manhã, 20 de janeiro passado, o protocolo de finanças descentralizadas Makina sofreu um ataque que causou prejuízos de milhões de dólares. A segurança da blockchain PeckShield relatou que os hackers conseguiram esvaziar o pool de stablecoin DUSD/USDC na Curve, explorando uma vulnerabilidade na oracle. Nesse ataque, eles perderam cerca de 1.299 Ether, avaliados em $4,13 milhões na altura, demonstrando o quão crítica se tornou a tendência de segurança na DeFi, cada vez mais preocupante.

Flash Loan: Como Emprestar Sem Garantia que Está a Revolucionar o Panorama da DeFi

Para entender como este ataque ocorreu, é necessário ordenar as etapas técnicas utilizadas pelos atacantes. Segundo uma análise de um engenheiro de segurança na CertiK, o atacante começou por emprestar uma grande quantia de fundos através de um flash loan. O flash loan é um mecanismo único na DeFi que permite a qualquer pessoa emprestar uma quantidade elevada de ativos sem precisar de garantia, com uma única condição: os fundos devem ser devolvidos na mesma transação.

No caso da Makina, o atacante tomou 280 milhões de USDC via flash loan — uma quantia que seria impossível de obter sem este mecanismo. Deste total, cerca de 170 milhões de USDC foram utilizados para fins mais estratégicos: interferir na MachineShareOracle, componente responsável por reportar o preço das ações ao pool.

Manipulação da Oracle: Quando o Sistema de Preços se Torna uma Arma de Ataque

A oracle no ecossistema DeFi funciona como uma “ponte de informação” que informa ao smart contract o preço dos ativos em tempo real. Este sistema é extremamente crítico porque os contratos inteligentes dependem desses dados para executar transações. Contudo, vulnerabilidades surgem quando o atacante consegue manipular os dados da oracle durante a mesma transação.

Ao inserir o capital emprestado via flash loan no pool, o atacante conseguiu temporariamente manipular os dados de preço reportados pela oracle. O pool Curve, que confia na informação da oracle, começou a acreditar que seus ativos valiam mais do que realmente. Quando a oracle reportou um aumento significativo no valor, o atacante trocou cerca de 110 milhões de USDC por um pool que tinha apenas cerca de $5 milhões de liquidez real.

Como o pool foi enganado por um preço falsificado, pagou muito mais do que deveria. Como resultado, o pool DUSD/USDC foi quase completamente drenado, com aproximadamente $5,1 milhões saindo para o atacante. Como afirmou um engenheiro de segurança da CertiK: “O preço da ação na oracle foi manipulado durante a transação, permitindo que o pool Curve pagasse a um preço inflacionado. Cerca de $5,1 milhões de USDC saíram do pool, e o atacante lucrou cerca de $4,1 milhões.”

MEV Builder Rouba a Maioria dos Lucros, Restando Apenas para o Hacker Real

Curiosamente, nesta história há um terceiro jogador que não foi iniciado. Após o hacker converter os lucros de DUSD em Ether e realizar algumas transações de consolidação, a maior parte do valor desta exploração foi roubada por um MEV builder. MEV (Maximal Extractable Value) refere-se ao lucro que pode ser maximizado por construtores de blocos e validadores ao ordenar, inserir e censurar transações.

Neste caso, a entidade de MEV identificada pelo endereço que começa com 0xa6c2 conseguiu pegar a maior parte do valor da exploração. A CertiK estima que o MEV builder garantiu cerca de $4,14 milhões de um total de $5 milhões retirados do pool de stablecoin. Isso significa que o hacker original, após todos os cálculos, recebeu apenas cerca de $800 mil de lucro.

O restante do Ether coletado foi direcionado para dois endereços diferentes via roteamento MEV: o primeiro endereço (0xbed) guardou $3,3 milhões em ETH, enquanto o outro endereço (0x573d) reteve cerca de 276 ETH. Essa dinâmica demonstra a complexidade do ecossistema DeFi moderno, onde até mesmo hackers podem ser alvo de sistemas de MEV.

Makina Finance Anuncia Incidente e Apela à Retirada de Liquidez

Às 06:42 UTC de terça-feira, a Makina Finance divulgou uma declaração oficial no X (Twitter) reconhecendo a vulnerabilidade ocorrida. No entanto, a equipe tentou acalmar a comunidade dizendo que o problema parecia limitado apenas à posição DUSD LP na Curve e não afetava toda a infraestrutura do protocolo.

Na sua comunicação, a Makina também pediu aos provedores de liquidez no pool DUSD Curve que retirem sua liquidez enquanto a equipe define os próximos passos. A Makina prometeu fornecer atualizações à comunidade assim que a revisão do incidente fosse concluída. Este protocolo foi lançado em fevereiro de 2025 e chegou a atrair $100,49 milhões em valor total bloqueado (TVL), segundo dados do DeFiLlama, antes do ataque.

Contexto de Segurança na DeFi: Ano Sombrio para os Usuários de Cripto

O ataque de flash loan na Makina tornou-se uma nota preocupante para os usuários de cripto que esperam melhorias na segurança. Em 2025, a indústria enfrentou um ano extremamente difícil, com mais de $3 bilhões roubados do mercado de criptomoedas. O Relatório de Segurança e Fraudes Web3 da Cybers documentou 108 incidentes relacionados a fraudes e vulnerabilidades, com um total de $16 bilhões em ativos criptográficos desviados de pelo menos 140 exchanges e plataformas de trading.

Dados adicionais indicam que 2025 registrou mais de 4,2 milhões de transações fraudulentas de 780.000 endereços únicos e quase 19.000 redes de fraude ativas envolvendo ativos como USDT, ETH e USDC. O ataque à Makina reforça a mensagem importante de que a DeFi ainda possui muitos vetores de vulnerabilidade que não foram completamente resolvidos, apesar do contínuo desenvolvimento da tecnologia blockchain.