Hoy más temprano, $DUSD (el "Dialectic USD" de Makina Finance) se desvinculó brevemente a ~$0.82 antes de rebotar. Esto ocurrió después de que @PeckShieldAlert señalara un incidente de ~$4M relacionado con el pool de Curve DUSD/USDC, impulsado por una manipulación de precios mediante un préstamo flash. Aquí está lo que realmente sucedió ↓

La Configuración Makina es una plataforma de rendimiento donde depositas USDC y recibes "acciones" de DUSD a cambio. Esas acciones representan tu parte de los activos totales bajo gestión (AUM) matemáticamente mostrados como: Precio de la acción = Total AUM ÷ Total de Acciones

Así que si el AUM sube, cada acción vale más y si baja, cada acción vale menos. Aunque esto es simple en diseño, la forma en que calcularon el AUM tenía un defecto fatal.

La Vulnerabilidad Makina tenía una función llamada updateTotalAum() que recalcula cuánto valen todos los activos. Esto presenta dos problemas: → Cualquiera podría llamarla (sin control de acceso) → Utiliza precios de mercado en vivo de las pools de Curve

Así que si alguien pudiera distorsionar esos precios al contado por un momento, podría distorsionar el AUM de Makina. Esa única suposición creó la apertura.

El Ataque El atacante tomó préstamos flash de ~$280 millones USDC de Aave y Morpho y realizó operaciones masivas en la piscina Curve MIM/3CRV, distorsionando temporalmente los precios. Estos son los mismos precios en los que el sistema de Makina confiaba para calcular el AUM.

Mientras los precios aún eran manipulados, el atacante llamó a updateTotalAum(). El sistema recalculó el AUM utilizando los precios inflados falsos. De repente, cada acción de DUSD parecía valer más USDC de lo que realmente valía.

El atacante intercambió DUSD → USDC a la tasa inflada y recibió mucho más USDC del que realmente valían las acciones. Luego invirtieron la manipulación del pool de Curve, pagaron los préstamos flash de $280M y se quedaron con la diferencia de aproximadamente $4.2M intercambiados por 1,299 ETH.

Aunque @makinafi ha hecho un anuncio rápido en Discord, tuve que tomar esta parte más difícil para entender lo que sucedió y también actualizar a mi audiencia, ya que he sido muy vocal sobre ellos. ¿Pero qué sigue a continuación?

Compartiré algunos pensamientos más lo que sé: - Solo se ve afectada la piscina de DUSD, así que si eres un LP allí, asegúrate de retirar liquidez lo antes posible. - Si tienes miedo por el futuro de $DUSD, usa @pendle_fi para vender (es mejor tarde que nunca). - Basado en POR, los activos subyacentes están intactos (pueden ajustar DUSD para tener en cuenta esta diferencia de precio de las acciones).

Y eso es todo. Si esto te resulta útil, puedes apoyar mi trabajo a través de asociaciones, compartiendo y comentando. Etiquetando a algunos chads en esta publicación: @phtevenstrong, @crypto_linn, @DefiIgnas @hmalviya9, @eli5_defi, @thesaint_ , @Hercules_Defi, @arndxt_xo, @rektdiomedes, @CryptoGirlNova, @patfscott, @DefiIgnas, @TheDeFiKenshin, @satyaki44, @Thenotellaking, @tradeguru, @YashasEdu, @hooeem

Nota: Este es un intento sutil de explicar lo que sucedió basado en datos. El equipo o la institución de seguridad con acceso a contratos y códigos completos sigue en la mejor posición para compartir el análisis post-mortem.