Gmak! Flash loan hack hits DeFi platform Makina for $5M

2026 年 1 月 20 日凌晨，去中心化金融平台 Machina 遭遇一場閃電貸攻擊，損失高達 510 萬美元。Machina 自稱為「最先進的 DeFi 執行引擎」，此次被攻擊的核心目標是其部署在 Curve Finance 上的 DUSD 流動池。Machina 團隊事後發表聲明，強調問題範圍僅限於 Curve 上的 DUSD LP 倉位，並建議持有該池部位的用戶立即撤出資金。

值得注意的是，此次攻擊並未完全照駭客的計畫進行。根據加密安全公司 PeckShield 的分析，原始攻擊行為在 UTC 凌晨 3:40 被一個 MEV bot 偵測到並搶先執行，該 bot 成功取走 1,299 ETH（約 400 萬美元）。這類「前跑」（front-running）行為在 DeFi 生態中並不罕見，MEV bot 持續監控待處理交易，一旦發現獲利機會便以更高手續費搶先上鏈。剩餘約 305 萬美元則流入另一個持幣地址，Machina 隨即在鏈上向該地址發出訊息，要求歸還資金，並承諾提供 10% 的白帽賞金作為條件。

區塊鏈審計機構 BlockSec 進一步分析了攻擊手法，指出核心機制在於操縱 Curve LP Share 的計算方式。攻擊者透過閃電貸在極短時間內大量注入或抽出流動性，利用協議在計算 LP 份額價值時的邏輯缺陷，壓低入場成本並套取超額資產，整個過程在單一區塊內完成，難以被即時阻止。

同一夜晚，約四小時後又發生了另一起較小規模的事件。這次目標是部署在 Base 網路上的 AI/Web3 遊戲層協議 SynapLogic。BlockSec 解釋，該協議存在一個錯誤的確認驗證機制，導致資產被盜，帳面損失達 18.6 萬美元。然而，由於 SYP 代幣缺乏市場流動性無法出售，駭客的實際獲利被壓縮至僅 8.8 萬美元，這也意外成為該協議損失的一道緩衝。這兩起事件進一步延續了 2026 年初 DeFi 遭駭的趨勢，此前已有傳統 DeFi 平台在同期的一波攻擊中共損失 2,700 萬美元。