Tidligere i dag falt $DUSD (Makina Finances "Dialectic USD") kortvarig til ~0,82 dollar før den gikk ut. Dette fulgte etter at @PeckShieldAlert påpekte en hendelse på ~4 millioner dollar knyttet til DUSD/USDC-kurvepoolen, drevet av en rask manipulasjon av lånepriser. Her er hva som egentlig skjedde ↓

Oppsettet Makina er en avkastningsplattform hvor du setter inn USDC og mottar DUSD-«aksjer» i retur. Disse aksjene representerer din andel av de totale forvaltede eiendelene (AUM) matematisk vist som: Aksjekurs = Total AUM ÷ totale aksjer

Så hvis AUM stiger, er hver andel verdt mer, og hvis den går ned, er hver andel verdt mindre. Selv om dette er enkelt i design, hadde måten de påslo AUM på en fatal svakhet.

Sårbarheten Makina hadde en funksjon kalt updateTotalAum() som beregner hvor mye alle eiendelene er verdt. Dette gir to problemer: → Hvem som helst kunne kalle det (ingen tilgangskontroll) → Den bruker live spotpriser fra kurvepooler

Så hvis noen kunne forvrenge disse spotprisene et øyeblikk, kunne de forvrenge Makinas AUM. Den ene antakelsen skapte åpningen.

Angrepet Angriperen tok opp flash-lån på ~280 millioner USD fra Aave og Morpho og gjorde massive handler i MIM/3CRV-kurvepoolen, noe som midlertidig skjevvridde prisene. Dette er de samme prisene Makinas system stolte på for å beregne AUM.

Mens prisene fortsatt ble manipulert, kalte angriperen updateTotalAum(). Systemet kalkulerte AUM på nytt ved å bruke de falske oppblåste prisene. Plutselig så hver DUSD-aksje ut til å være verdt mer USDC enn den faktisk var.

Angriperen byttet DUSD → USDC til den oppblåste kursen og mottok langt mer USDC enn aksjene egentlig var verdt. Deretter reverserte de Curve pool-manipulasjonen, tilbakebetalte flash-lånene på 280 millioner dollar, og beholdt forskjellen ~4,2 millioner dollar byttet til 1 299 ETH.

Selv om @makinafi har kommet med en rask kunngjøring på Discord, måtte jeg ta denne vanskeligere delen for å forstå hva som skjedde, samt oppdatere publikum siden jeg har vært så åpen om dem. Men hva skjer videre?

Jeg vil dele noen tanker pluss det jeg vet: - Kun kurve-DUSD-poolen er påvirket, så hvis du er en LP der, sørg for å fjerne likviditeten så raskt som mulig - Hvis du er redd for fremtiden til $DUSD, bruk @pendle_fi swap for å selge (det er bedre sent enn aldri) - Basert på POR er underliggende eiendeler intakte (de kan justere DUSD for å ta høyde for denne aksjekursforskjellen)

Og det var en wrap. Hvis dette er nyttig for deg, kan du støtte arbeidet mitt gjennom partnerskap, gjendeling og kommentarer. Tagger noen chads til dette innlegget: @phtevenstrong, @crypto_linn, @DefiIgnas @hmalviya9, @eli5_defi, @thesaint_, @Hercules_Defi, @arndxt_xo, @rektdiomedes, @CryptoGirlNova, @patfscott, @DefiIgnas, @TheDeFiKenshin, @satyaki44, @Thenotellaking, @tradeguru, @YashasEdu, @hooeem

Merk: Dette er et subtilt forsøk på å forklare hva som skjedde basert på data. Teamet eller sikkerhetsinstitusjonen med tilgang til fulle kontrakter og koder er fortsatt best posisjonert til å dele analyser etter måneden.