- 420 万美元的 DUSD 漏洞利用是一次精准的闪电贷攻击,它操纵了短期定价假设,清空了一个 Curve 资金池,但没有损害更广泛的稳定币系统。
- 该事件凸显了 DeFi 中一个反复出现的漏洞,即在极端、短暂的资本失衡情况下,深度流动性和预言机依赖性可能会变成负债。
- 虽然 Makina 的迅速控制限制了疫情蔓延,但该事件再次表明,稳定币池中的流动性提供者风险与简单的代币持有风险在结构上有所不同。
针对 Makina 的 DUSD/ USDC Curve 池的定向闪电贷攻击表明,稳定币流动性、预言机设计和闪电贷流动性如何结合起来,为流动性提供者造成集中风险。
事件
1 月 20 日凌晨,一次针对性极强的闪电贷攻击从 Curve 上的 DUSD/ USDC流动性池中窃取了约 420 万美元,这标志着 2026 年初技术上最精准的稳定币攻击之一,并凸显了可组合性虽然强大,但当预言机依赖关系和流动性假设不完全一致时,仍然会造成攻击面。
由 Makina Finance 发行的多链稳定币 DUSD 并未通过其核心铸造-赎回机制遭到攻击,而是通过一个单一的流动性场所遭到攻击。攻击者通过闪电贷借入了约 2.8 亿美元的USDC ,暂时扭曲了预言机参考的定价输入,抬高了流动性头寸的表观价值,并在系统重新平衡之前提取了资金池中的可用资产,最终在攻击发生时获得了相当于约 1299 ETH 的资金。
至关重要的是,此次事件并未影响更广泛的 DUSD 供应,也没有影响仅持有 DUSD、 Pendle头寸或 Gearbox 敞口的用户,Makina 在事件后的沟通中强调了这一点,但资金流失的速度和精确性清楚地表明,即使是隔离良好的资金池,当资金集中、预言机延迟和闪电流动性交织在一起时,也可能成为单点故障。
攻击是如何进行的
从技术层面来看,该漏洞利用遵循了 DeFi 安全研究人员越来越熟悉的模式,但其执行方式更加精细,目标也更加狭窄:攻击者通过向 DUSD/ USDC曲线池注入大量短暂存在的USDC ,操纵了下游逻辑所依赖的价格假设,从而制造出流动性过剩的假象,并在单个交易包内实现有利可图的套利。
由于闪电贷不需要预付资金,并且必须在同一区块内偿还,因此攻击者承担的方向性风险极小,而是利用了时间价格扭曲。这种漏洞在 DeFi 领域反复出现,因为资金池依赖于可能受到短期不平衡影响的价格数据源,而不是时间加权或多源聚合。
结果并非系统性崩溃,而是干净利落地提取:正如 Makina 后来披露的那样,约 510 万美元的USDC等值资金从资金池中被抽走,使流动性提供者完全暴露在风险之中,而更广泛的协议基础设施则保持完好无损。
遏制与应对
Makina 的应对措施以其速度和范围而著称,体现了从早期 DeFi 危机中吸取的教训:团队立即确认该漏洞仅限于 Curve DUSD/ USDC池,对攻击前的流动性提供者余额进行了快照,并激活了恢复模式,允许受影响的 LP 单方面提取到 DUSD,同时评估长期补救方案。
Makina 在 1 月 21 日发布的公开声明中表示,它已确定了与攻击者链上身份相关的线索,并正在积极尝试与之接触,同时承诺一旦安全措施到位,将重新开放赎回功能并为流动性提供者提供替代退出途径,这一策略旨在防止恐慌蔓延到其他场所。
这种方法与早期的 DeFi 事件形成了鲜明对比,在早期的事件中,沟通延迟和范围不明确加剧了损失,这凸显了运营成熟度(而不是绝对的漏洞利用预防)已成为管理稳定币基础设施的协议之间的关键区别因素。
市场信号和流动性记忆
DUSD 事件之所以特别具有启发意义,是因为此次漏洞利用与 DUSD 此前的流动性状况形成了鲜明对比:就在几个月前,2025 年 9 月, PancakeSwap上的 DUSD/ USDT交易对的总锁定价值 (TVL) 达到了 1.29 亿美元,位居该平台榜首,24 小时交易量为 8211 万美元,7 天交易量为 4.39 亿美元,这使得 DUSD 成为某些交易生态系统中最活跃的稳定币交易对之一。
历史背景很重要,因为它说明了流动性深度虽然通常被解读为稳定的标志,但当资本足够集中且经济激励措施一致时,它也可能成为精准攻击的磁石,尤其是在假设稳定币平价而不是持续进行压力测试的资金池中。
从这个意义上讲,该漏洞并没有使 DUSD 失去稳定币的地位,但它确实强化了 DeFi 中一个反复出现的教训:流动性并不等同于安全性,在正常情况下看起来最有韧性的资金池,在对抗性条件下可能会成为最佳目标。
更广泛的稳定币课程
除了直接损失之外,DUSD闪电贷攻击还揭示了链上稳定币在跨链和协议扩展时面临的结构性挑战:虽然可组合性能够实现快速增长和资本效率,但也创建了复杂的依赖关系图,其中局部故障可能会对特定用户群体造成不成比例的影响。
随着监管机构、机构和基础设施提供商越来越关注稳定币,不仅将其视为工具,还将其视为支付和结算层,此类事件更加凸显了协议偿付能力和场所级风险之间的区别,而这种细微差别往往被那些在流动性池中追逐收益的用户所忽视,他们没有充分考虑预言机设计、提款机制或对抗性压力场景。
尽管受影响资金池之外的 DUSD 持有者未受损害,但这一事件最终可能对 Makina 有利,这也再次表明,DeFi 的下一阶段稳定性将更多地取决于协议如何构建其最薄弱的环节,而不是主要取决于 TVL 的统计数据,尤其是在闪电流动性和价格发现相互冲突的地方。
阅读更多:
〈 有针对性的闪电贷罢工暴露了稳定币流动性的断层〉这篇文章最早发布于《 CoinRank 》。
