Hoy más temprano, $DUSD (el "Dialectic USD" de Makina Finance) bajó brevemente a ~$0,82 antes de rebotar. Esto se produjo después de que @PeckShieldAlert señalara un incidente de ~$4 millones vinculado al fondo de la curva DUSD/USDC, impulsado por una manipulación flash de precios de préstamos. Esto es lo que realmente pasó ↓

La preparación Makina es una plataforma de rentabilidad donde depositas USDC y recibes "acciones" DUSD a cambio. Esas acciones representan tu parte del total de activos bajo gestión (AUM) mostrada matematicalmente como: Precio de la acción = Total de activos activos ÷ totales de acciones

Así que si sube el AUM, cada acción vale más y si baja, cada parte vale menos. Aunque esto es sencillo en su diseño, la forma en que acosaron los AUM tenía un defecto fatal.

La vulnerabilidad Makina tenía una función llamada updateTotalAum() que recalcula cuánto valen todos los activos. Esto presenta dos problemas: → Cualquiera podría llamarlo (sin control de acceso) → Utiliza precios spot en vivo de los pools de Curve

Así que si alguien pudiera distorsionar esos precios spot por un momento, podría distorsionar la gestión bajo administración de Makina. Esa única suposición creó la apertura.

El ataque El atacante tomó préstamos relámpago por valor de ~280 millones de dólares estadounidenses de Aave y Morpho y realizó operaciones masivas en el pool de la curva MIM/3CRV, lo que sesgó temporalmente los precios. Estos son los mismos precios en los que confiaba el sistema de Makina para calcular AUM.

Mientras los precios seguían siendo manipulados, el atacante llamó a updateTotalAum(). El sistema recalculó los activos activos utilizando los precios inflados falsos. De repente, cada acción de DUSD parecía valer más USDC de lo que realmente valía.

El atacante intercambió DUSD → USDC a un precio inflado y recibió mucho más USDC de lo que realmente valían las acciones. Luego revirtieron la manipulación del fondo de curvas, devolvieron los préstamos flash de 280 millones de dólares y mantuvieron la diferencia de ~4,2 millones cambiados a 1.299 ETH.

Aunque @makinafi ha hecho un anuncio rápido en Discord, tuve que afrontar esta parte más difícil para entender lo que pasó y también para actualizar a mi audiencia, ya que he sido muy vocal sobre ellos. ¿Pero qué viene después?

Voy a compartir algunas reflexiones y lo que sé: - Solo se ve afectada la piscina DUSD de curva, así que si eres LP ahí, asegúrate de eliminar liquidez cuanto antes - Si tienes miedo por el futuro de $DUSD, usa @pendle_fi swap para vender (más vale tarde que nunca) - Según el POR, los activos subyacentes están intactos (pueden ajustar el DUSD para tener en cuenta esta diferencia en el precio de la acción)

Y eso es todo. Si esto te resulta útil, puedes apoyar mi trabajo a través de colaboraciones, recompartiendo y comentando. Etiqueto algunos chads a esta publicación: @phtevenstrong, @crypto_linn, @DefiIgnas @hmalviya9, @eli5_defi, @thesaint_, @Hercules_Defi, @arndxt_xo, @rektdiomedes, @CryptoGirlNova, @patfscott, @DefiIgnas, @TheDeFiKenshin, @satyaki44, @Thenotellaking, @tradeguru, @YashasEdu, @hooeem

Nota: Este es un intento sutil de explicar lo que ocurrió a partir de datos. El equipo o la institución de seguridad con acceso a contratos y códigos completos sigue siendo la mejor posición para compartir análisis post-moterm.