- Makina Finance a subi un exploit via un flash loan de 280 M$ en USDC, permettant de manipuler un oracle et de vider presque entièrement une pool stablecoin pour ~5 M$.
- Les estimations divergent entre 4 et 5,1 M$, avec une part majeure des fonds captée par un MEV builder, compliquant toute récupération rapide.
- La communication du protocole reste floue, renforçant l’inquiétude des utilisateurs.
Un nouveau coup dur secoue la DeFi. Makina Finance, un protocole se présentant comme un moteur d’exécution “institutionnel”, a subi un hack estimé à environ 5 millions de dollars, selon les analyses. L’attaque, sophistiquée et rapide, a ciblé une pool de stablecoins et s’est appuyée sur un flash loan massif en USDC.
Un flash loan de 280 millions de dollars comme arme principale
D’après les données on-chain, l’attaquant a contracté un flash loan de 280 millions d’USDC pour manipuler les mécanismes internes du protocole. Sur ce montant, environ 170 millions auraient été utilisés pour fausser l’oracle de prix dont dépend le pool stablecoin DUSD/USDC sur Curve. Une fois les prix artificiellement déplacés, l’attaquant a échangé près de 110 millions d’USDC contre un pool ne pesant qu’environ 5 millions de dollars, vidant quasiment toute la liquidité disponible.
Ce type de scénario rappelle une mécanique désormais bien connue en DeFi : des pools relativement peu profonds, combinés à des oracles sensibles aux manipulations de court terme, deviennent vulnérables face à des volumes artificiels injectés via des flash loans.
Des estimations divergentes, mais un impact réel
Toutes les firmes de sécurité ne s’accordent pas sur le montant exact des pertes. GoPlus Security évoque un préjudice d’environ 5,1 millions de dollars, tandis que PeckShield chiffre l’attaque à un peu plus de 4 millions de dollars, libellés en ether. CertiK, de son côté, souligne un élément supplémentaire : une large part des fonds aurait été capturée par un MEV builder, qui aurait intercepté environ 4,1 millions de dollars dans le sillage de l’attaque.
Résultat, les fonds sont aujourd’hui répartis entre deux adresses, l’une contrôlée par l’attaquant initial, l’autre liée à l’infrastructure MEV. Une configuration qui complique toute tentative de récupération immédiate, mais pourrait s’avérer bénéfique à long terme.
Une communication encore hésitante
À l’heure actuelle, Makina Finance n’a pas officiellement confirmé les conditions de l’exploit sur ses canaux publics principaux. Dans un premier message publié sur Discord, l’équipe a indiqué être “au courant de publications évoquant un incident potentiel” et procéder à des vérifications. Un second message, diffusé environ deux heures plus tard et posté sur X, précise que le problème semble limité aux positions de liquidité DUSD sur Curve et recommande aux fournisseurs de liquidité de retirer leurs fonds.
Fait notable : aucune mention explicite de pertes n’a été faite, ce qui alimente l’incertitude parmi les utilisateurs et investisseurs.
Un rappel brutal des risques persistants en DeFi
Makina Finance revendique plus de 100 millions de dollars de valeur totale verrouillée et se positionne sur des produits censés répondre à des standards institutionnels. L’attaque met en lumière un décalage fréquent entre ce discours et la réalité technique des protocoles, où un point de faiblesse sur un oracle ou une logique de pricing peut suffire à provoquer des pertes significatives.
Cet incident s’inscrit dans une année déjà lourde pour l’écosystème. En 2025, les vols liés aux cryptomonnaies ont dépassé 3,4 milliards de dollars, rappelant que malgré les progrès en matière d’audit et de sécurité, la DeFi reste un terrain d’expérimentation à haut risque.
Pour Makina Finance, la priorité sera désormais double : clarifier l’ampleur réelle des pertes et restaurer la confiance. Dans un marché déjà sous tension, chaque heure de silence compte.
