Plus tôt dans la journée, le $DUSD ("Dialectic USD" de Makina Finance) a brièvement perdu son ancrage à environ ~$0.82 avant de rebondir. Cela a suivi après que @PeckShieldAlert a signalé un incident d'environ ~$4M lié à la piscine DUSD/USDC Curve, provoqué par une manipulation de prix via un prêt flash. Voici ce qui s'est vraiment passé ↓

La configuration Makina est une plateforme de rendement où vous déposez des USDC et recevez en retour des « actions » DUSD. Ces actions représentent votre part des actifs totaux sous gestion (AUM) mathématiquement exprimée comme suit : Prix de l'action = Total AUM ÷ Total des actions

Donc, si l'AUM augmente, chaque action vaut plus et si elle diminue, chaque action vaut moins. Bien que cela soit simple dans sa conception, la façon dont ils ont calculé l'AUM avait un défaut fatal.

La vulnérabilité Makina avait une fonction appelée updateTotalAum() qui recalcule la valeur de tous les actifs. Cela présente deux problèmes : → N'importe qui pouvait l'appeler (pas de contrôle d'accès) → Elle utilise les prix spot en direct des pools Curve

Donc, si quelqu'un pouvait distordre ces prix au comptant pendant un moment, il pourrait distordre l'AUM de Makina. Cette seule hypothèse a créé l'ouverture.

L'attaque L'attaquant a pris des prêts flash d'environ 280 millions USDC auprès d'Aave et de Morpho et a effectué d'énormes transactions dans le pool Curve MIM/3CRV, faussant temporairement les prix. Ce sont les mêmes prix que le système de Makina a utilisés pour calculer l'AUM.

Alors que les prix étaient encore manipulés, l'attaquant a appelé updateTotalAum(). Le système a recalculé l'AUM en utilisant les faux prix gonflés. Soudain, chaque part de DUSD semblait valoir plus de USDC qu'elle ne l'était réellement.

L'attaquant a échangé DUSD → USDC au taux gonflé et a reçu beaucoup plus de USDC que la valeur réelle des actions. Ensuite, ils ont inversé la manipulation de la piscine Curve, remboursé les prêts flash de 280 millions de dollars et gardé la différence d'environ 4,2 millions de dollars échangés contre 1 299 ETH.

Bien que @makinafi ait fait une annonce rapide sur Discord, j'ai dû prendre cette partie plus difficile pour comprendre ce qui s'est passé et mettre à jour mon audience puisque j'ai été très vocal à leur sujet. Mais que se passe-t-il ensuite ?

Je vais partager quelques réflexions ainsi que ce que je sais : - Seule la courbe du pool DUSD est affectée, donc si vous êtes un LP là-bas, assurez-vous de retirer votre liquidité dès que possible. - Si vous avez peur pour l'avenir de $DUSD, utilisez @pendle_fi pour vendre (il vaut mieux tard que jamais). - Basé sur POR, les actifs sous-jacents sont intacts (ils peuvent ajuster DUSD pour tenir compte de cette différence de prix des actions).

Et c'est tout. Si cela vous est utile, vous pouvez soutenir mon travail par le biais de partenariats, de partages et de commentaires. Taguant quelques chads à ce post : @phtevenstrong, @crypto_linn, @DefiIgnas @hmalviya9, @eli5_defi, @thesaint_ , @Hercules_Defi, @arndxt_xo, @rektdiomedes, @CryptoGirlNova, @patfscott, @DefiIgnas, @TheDeFiKenshin, @satyaki44, @Thenotellaking, @tradeguru, @YashasEdu, @hooeem

Remarque : Il s'agit d'une tentative subtile d'expliquer ce qui s'est passé sur la base des données. L'équipe ou l'institution de sécurité ayant accès à l'intégralité des contrats et des codes reste dans la meilleure position pour partager l'analyse post-moterm.