MakinaFi perdió aproximadamente 1,299 ETH (~$4.1M) en un exploit que tuvo lugar el 20 de enero. El atacante empleó préstamos flash y manipulación de precio on‑chain contra un pool DUSD/USDC de Curve, mientras que un builder de MEV interceptó parte del flujo y obtuvo un pequeño beneficio.
El incidente pone de manifiesto los riesgos persistentes en pools de liquidez de stablecoins complejos y el papel adversarial del MEV en el orden de las transacciones, y ha dejado a usuarios y equipos de cumplimiento buscando claridad sobre la remediación y la compensación.
Según análisis on‑chain e informes de firmas de seguridad, el atacante ejecutó una secuencia de préstamos flash tomando capital de protocolos de préstamo como Aave y Morpho, y luego enrutó swaps rápidos a través de Curve y Uniswap para distorsionar el precio del pool DUSD/USDC. El atacante reembolsó los préstamos flash dentro de la misma transacción atómica mientras extraía valor del pool.
Un builder de MEV — identificado on‑chain por el prefijo 0xa6c2 — detectó la transacción lucrativa del explotador y adelantó partes del flujo (frontran), embolsándose aproximadamente 0.13 ETH. Los fondos robados se movieron a al menos dos direcciones de Ethereum: 0xbed2…dE25 (aproximadamente $3.3M) y 0x573d…910e (aproximadamente $880K), según los mismos datos de cadena.
Implicaciones para la seguridad, el producto y el cumplimiento
El exploit pone de relieve tres debilidades recurrentes en productos DeFi: la composabilidad que amplifica el riesgo entre protocolos, la dependencia de la mecánica de préstamos flash atómicos que permite apalancamiento grande a corto plazo, y el comportamiento impredecible de los actores de MEV que pueden lucrarse incluso a expensas de otros atacantes.
MakinaFi ha suspendido las interacciones con los contratos y, según los últimos informes on‑chain, no ha publicado un post‑mortem técnico ni un plan de compensación — una laguna que eleva el riesgo reputacional y de contraparte para usuarios y contrapartes institucionales.
El incidente es distinto de una actividad señalada por CertiK que involucra bucles de acuñación (minting) de Synap Logic, la cual implicó un patrón de contrato diferente y 193 transacciones sospechosas; ambos eventos, no obstante, subrayan la variedad de vectores de ataque que los equipos de cumplimiento y seguridad deben monitorear de forma concurrente.
Los inversores y los equipos de producto ahora se centran en el próximo desglose técnico de MakinaFi y en cualquier medida de mitigación o compensación. El post‑mortem del protocolo será la prueba clave de su gobernanza, procedimientos de recuperación y de si la trazabilidad on‑chain puede respaldar de forma significativa la recuperación de fondos o el seguimiento legal.
Hasta entonces, es probable que traders y custodios reevalúen la exposición a pools de stablecoins complejos y endurezcan la monitorización de la actividad de préstamos flash y MEV.
