Heute früh hat $DUSD ("Dialectic USD" von Makina Finance) kurzzeitig auf ~$0,82 abgewichen, bevor es sich wieder erholte. Dies folgte, nachdem @PeckShieldAlert einen Vorfall im Wert von ~$4M im Zusammenhang mit dem DUSD/USDC Curve-Pool gemeldet hatte, der durch eine Preismanipulation mittels eines Flash Loans verursacht wurde. Hier ist, was wirklich passiert ist ↓

Die Einrichtung Makina ist eine Ertragsplattform, auf der Sie USDC einzahlen und im Gegenzug DUSD „Anteile“ erhalten. Diese Anteile repräsentieren Ihren Anteil an den insgesamt verwalteten Vermögenswerten (AUM), mathematisch dargestellt als: Anteilspreis = Gesamt-AUM ÷ Gesamtanteile

Wenn das AUM steigt, ist jede Aktie mehr wert, und wenn es sinkt, ist jede Aktie weniger wert. Obwohl dies einfach gestaltet ist, hatte die Art und Weise, wie sie das AUM berechnet haben, einen fatalen Fehler.

Die Verwundbarkeit Makina hatte eine Funktion namens updateTotalAum(), die berechnet, wie viel alle Vermögenswerte wert sind. Dies bringt zwei Probleme mit sich: → Jeder konnte sie aufrufen (keine Zugriffskontrolle) → Sie verwendet aktuelle Spotpreise aus Curve-Pools

Wenn also jemand diese Spotpreise für einen Moment verzerren könnte, könnten sie das AUM von Makina verzerren. Diese eine Annahme schuf die Möglichkeit.

Der Angriff Der Angreifer nahm Flash-Kredite in Höhe von etwa 280 Millionen USDC von Aave und Morpho auf und tätigte massive Trades im MIM/3CRV Curve-Pool, wodurch die Preise vorübergehend verzerrt wurden. Dies sind die gleichen Preise, denen das System von Makina für die Berechnung des AUM vertraute.

Während die Preise weiterhin manipuliert wurden, rief der Angreifer updateTotalAum() auf. Das System berechnete das AUM mit den gefälschten, aufgeblähten Preisen neu. Plötzlich schien jede DUSD-Anteil mehr USDC wert zu sein, als sie tatsächlich war.

Der Angreifer tauschte DUSD → USDC zum überhöhten Kurs und erhielt weit mehr USDC, als die Anteile tatsächlich wert waren. Dann kehrten sie die Manipulation des Curve-Pools um, zahlten die $280M Blitzkredite zurück und behielten die Differenz von etwa $4,2M, die in 1.299 ETH getauscht wurde.

Obwohl @makinafi eine schnelle Ankündigung auf Discord gemacht hat, musste ich diesen schwierigeren Teil verstehen, um zu begreifen, was passiert ist, und um mein Publikum zu informieren, da ich so offen über sie gesprochen habe. Aber was kommt als Nächstes?

Ich werde ein paar Gedanken sowie das, was ich weiß, teilen: - Nur der DUSD-Pool der Kurve ist betroffen, also wenn du ein LP dort bist, stelle sicher, dass du die Liquidität so schnell wie möglich entfernst. - Wenn du Angst um die Zukunft von $DUSD hast, benutze @pendle_fi Swap, um zu verkaufen (besser spät als nie). - Basierend auf POR sind die zugrunde liegenden Vermögenswerte intakt (sie können DUSD anpassen, um diesen Unterschied im Aktienkurs zu berücksichtigen).

Und das war's. Wenn dir das hilfreich ist, kannst du meine Arbeit durch Partnerschaften, Teilen und Kommentieren unterstützen. Ich tagge einige Chads in diesem Beitrag: @phtevenstrong, @crypto_linn, @DefiIgnas @hmalviya9, @eli5_defi, @thesaint_ , @Hercules_Defi, @arndxt_xo, @rektdiomedes, @CryptoGirlNova, @patfscott, @DefiIgnas, @TheDeFiKenshin, @satyaki44, @Thenotellaking, @tradeguru, @YashasEdu, @hooeem

Hinweis: Dies ist ein subtiler Versuch, zu erklären, was basierend auf Daten passiert ist. Das Team oder die Sicherheitsinstitution mit Zugang zu vollständigen Verträgen und Codes befindet sich in der besten Position, um eine Nachanalyse zu teilen.