Des pirates informatiques ont piraté le projet décentralisé Makina Finance. Environ 5 millions de dollars ont été retirés d'un pool de stablecoins, selon CertiK.
#CertiKINsight 🚨
Nous avons constaté une faille de sécurité sur @makina : le pool de stableswap Dialectic USD/USDC a été manipulé et vidé d'environ 5 millions de dollars, dont la majeure partie (4,14 millions de dollars) a été transférée vers une adresse de constructeur MEV. https://t.co/rgLjDVuqzD
Restez vigilants !
— CertiK Alert (@CertiKAlert) 20 janvier 2026
L'attaque a été menée par manipulation de l'oracle. À l'aide d'un crédit flash de 280 millions de dollars américains, l'attaquant a modifié artificiellement les données de prix dans MachineShareOracle, système sur lequel reposait le protocole.
En conséquence, le pool DUSD/USDC sur la plateforme Curve a été touché : des cybercriminels en ont retiré tous les fonds.
La majeure partie des actifs volés (4,14 millions de dollars) a finalement été interceptée par le constructeur de MEV.
Les développeurs de Makina ont déclaré être « au courant de l'incident potentiel » et mener une enquête. Ils ont précisé que le problème n'affectait que les positions de fournisseur de liquidités DUSD sur Curve.
Gmak, tôt ce matin, nous avons reçu des signalements concernant un incident avec le pool Curve $DUSD.
À ce stade, le problème semble se limiter aux positions LP DUSD sur Curve. Rien n'indique pour l'instant que d'autres actifs ou déploiements soient affectés.
Actifs sous-jacents détenus en…
– Makina (@makinafi) 20 janvier 2026
« Par mesure de précaution, toutes les machines ont été mises en mode sans échec pendant que nous continuons d'évaluer la situation. Nous conseillons vivement aux fournisseurs de liquidités du pool Curve DUSD de retirer leurs fonds », a écrit l'équipe.
L'étendue des dégâts n'a pas été précisée.
Les spécialistes de GoPlus Security ont estimé les pertes à 5,1 millions de dollars, et PeckShield a signalé le vol de 1 299 ETH (4,1 millions de dollars).
Makina Finance est un moteur d'exécution de stratégies DeFi lancé en février 2025. Le protocole prétend fournir un stockage stratégique institutionnel.
Au moment de l'incident, la TVL de la plateforme s'élevait à 100 millions de dollars.
Source : DefiLlama.
Une nouvelle approche
Daejun Park, chercheur principal en sécurité chez a16z crypto, a appelé le secteur de la DeFi à intégrer la sécurité directement dans le code.
Ce changement repose sur l'utilisation de spécifications standardisées qui limitent les actions autorisées par le protocole et annulent automatiquement toute transaction qui enfreint des hypothèses prédéterminées concernant le « comportement correct ».
« De tels contrôles permettraient de bloquer la quasi-totalité des attaques connues dès leur exécution. Cela implique une transition de l’ancien paradigme « le code fait loi » au nouveau : « la loi est spécification », a souligné l’expert.
La pertinence de cette proposition est soulignée par les statistiques de piratage : selon SlowMist, en 2025, les pirates informatiques ont dérobé plus de 649 millions de dollars en exploitant des failles de sécurité. Même des protocoles éprouvés comme Balancer ont subi des pertes de centaines de millions de dollars.
Cette approche présente toutefois des inconvénients. Gonçalo Magalhaes, directeur de la sécurité chez Immunefi, a indiqué à DL News que des contrôles supplémentaires augmenteraient le coût du gaz, ce qui pourrait dissuader les utilisateurs recherchant des tarifs avantageux.
Selon lui, les vérifications d'invariants constituent une excellente stratégie, mais pas une solution miracle, car elles ne prennent pas en compte les vecteurs d'attaque imprévus.
Un autre problème réside dans la difficulté de configurer correctement de telles protections. Felix Wilhelm, cofondateur d'Asymmetric Research, a souligné qu'en pratique, la création d'un invariant efficace est extrêmement complexe.
« Pour de nombreuses vulnérabilités et attaques réelles, il est difficile, voire impossible, de développer un invariant qui permettrait de détecter de manière fiable une intrusion sans bloquer les opérations légitimes en mode normal », a-t-il expliqué.
Ces contrôles ne font souvent que limiter les dégâts ou servir de signal à l'équipe, mais n'empêchent pas complètement la brèche.
Malgré les obstacles, certains protocoles ont déjà mis en œuvre cette pratique. Le protocole de crédit Kamino de Solana et les développeurs du registre XRP utilisent des contrôles invariants pour garantir l'intégrité de leurs systèmes complexes et se prémunir contre les bogues encore inconnus.
Rappelons que Mitchell Amador, PDG d'Immunefi, a conclu que près de 80 % des projets de cryptomonnaie cessent d'exister après des piratages de grande ampleur.