🚨4 millions de dollars perdus en 13 secondes @makinafi 🧵 1/3 Pas à cause d'un bug de code. À cause d'une hypothèse de confiance. Notre équipe de sécurité a analysé l'exploitation de Makina et cette capture d'écran capture le moment critique. MachineShareOracle retourne sharePrice : 1,011,771,000,000,000,000 Normalisé : 1.0117 Le protocole fonctionne normalement. Le coffre est sain. Les utilisateurs sont en sécurité. Ce qui s'est passé ensuite devrait inquiéter chaque fondateur construisant sur la composabilité DeFi.

🧵 2/3 Même oracle. Même fonction. Même transaction. Après que l'attaquant a injecté 280 millions de dollars de liquidités de prêt flash dans les pools Curve en amont : sharePrice : 1 331 577 000 000 000 000 Normalisé : 1,3315 Une inflation artificielle de 31,6 %. Instantanément. L'oracle a fonctionné exactement comme prévu. Il a lu les soldes des pools externes et calculé l'AUM. Aucun niveau de validation n'a remis en question si un mouvement de prix de 31 % dans un bloc représentait la réalité ou la manipulation. Le protocole a fait confiance aux soldes des pools Curve pour calculer l'AUM. Pas de TWAP. Pas de vérification des limites. Pas de filtre de santé. C'est un risque architectural, pas une erreur d'implémentation.