Oggi, $DUSD ("Dialectic USD" di Makina Finance) ha brevemente perso il peg a ~$0.82 prima di rimbalzare. Questo è avvenuto dopo che @PeckShieldAlert ha segnalato un incidente di ~$4M legato al pool DUSD/USDC Curve, causato da una manipolazione dei prezzi tramite un prestito flash. Ecco cosa è realmente successo ↓

La Configurazione Makina è una piattaforma di rendimento dove depositi USDC e ricevi in cambio “quote” DUSD. Queste quote rappresentano la tua parte del totale degli attivi gestiti (AUM) matematicamente mostrato come: Prezzo della quota = Totale AUM ÷ Totale Quote

Quindi, se l'AUM aumenta, ogni azione vale di più e se diminuisce, ogni azione vale di meno. Sebbene questo sia semplice nel design, il modo in cui hanno calcolato l'AUM aveva un difetto fatale.

La Vulnerabilità Makina aveva una funzione chiamata updateTotalAum() che ricalcola quanto valgono tutti gli asset. Questo presenta due problemi: → Chiunque potrebbe chiamarla (nessun controllo di accesso) → Utilizza i prezzi spot in tempo reale dai pool di Curve

Quindi, se qualcuno potesse distorcere quei prezzi spot per un momento, potrebbe distorcere l'AUM di Makina. Quella singola assunzione ha creato l'apertura.

L'Attacco L'attaccante ha preso prestiti flash di ~$280 milioni USDC da Aave e Morpho e ha effettuato enormi operazioni nel pool Curve MIM/3CRV, alterando temporaneamente i prezzi. Questi sono gli stessi prezzi di cui si fidava il sistema di Makina per calcolare l'AUM.

Mentre i prezzi erano ancora manipolati, l'attaccante ha chiamato updateTotalAum(). Il sistema ha ricalcolato l'AUM utilizzando i prezzi gonfiati falsi. Improvvisamente, ogni azione DUSD sembrava valere più USDC di quanto non fosse in realtà.

L'attaccante ha scambiato DUSD → USDC al tasso gonfiato e ha ricevuto molto più USDC di quanto valessero realmente le azioni. Poi hanno invertito la manipolazione del pool di Curve, rimborsato i prestiti flash da 280 milioni di dollari e tenuto la differenza di circa 4,2 milioni di dollari scambiati in 1.299 ETH.

Sebbene @makinafi abbia fatto un annuncio rapido su Discord, ho dovuto affrontare questa parte più difficile per capire cosa sia successo e aggiornare il mio pubblico, dato che sono stato molto esplicito riguardo a loro. Ma cosa succede dopo?

Condividerò alcune riflessioni e ciò che so: - Solo il pool DUSD della curva è interessato, quindi se sei un LP lì, assicurati di rimuovere la liquidità il prima possibile - Se sei preoccupato per il futuro di $DUSD, usa @pendle_fi per scambiare e vendere (è meglio tardi che mai) - Basato su POR, gli asset sottostanti sono intatti (possono regolare DUSD per tenere conto di questa differenza di prezzo delle azioni)

E questo è tutto. Se questo ti è utile, puoi supportare il mio lavoro attraverso partnership, condivisioni e commenti. Taggando alcuni chads a questo post: @phtevenstrong, @crypto_linn, @DefiIgnas @hmalviya9, @eli5_defi, @thesaint_ , @Hercules_Defi, @arndxt_xo, @rektdiomedes, @CryptoGirlNova, @patfscott, @DefiIgnas, @TheDeFiKenshin, @satyaki44, @Thenotellaking, @tradeguru, @YashasEdu, @hooeem

Nota: Questo è un tentativo sottile di spiegare cosa è successo basandosi sui dati. Il team o l'istituzione di sicurezza con accesso a contratti e codici completi rimane nella migliore posizione per condividere un'analisi post-mortem.