Eerder vandaag depegde $DUSD (de "Dialectic USD" van Makina Finance) kort naar ~$0,82 voordat het weer steeg. Dit volgde nadat @PeckShieldAlert een incident van ~$4M had gemeld dat verband hield met de DUSD/USDC Curve pool, veroorzaakt door een prijsmanipulatie met een flash loan. Hier is wat er echt gebeurde ↓

De Setup Makina is een yield platform waar je USDC deponeert en in ruil daarvoor DUSD "aandelen" ontvangt. Die aandelen vertegenwoordigen jouw deel van de totale activa onder beheer (AUM), wiskundig weergegeven als: Aandeelprijs = Totale AUM ÷ Totaal Aantal Aandelen

Dus als het AUM stijgt, is elke aandeel meer waard en als het daalt, is elke aandeel minder waard. Hoewel dit eenvoudig is in ontwerp, had de manier waarop ze AUM berekenden een fatale fout.

De Kwetsbaarheid Makina had een functie genaamd updateTotalAum() die herberekent hoeveel alle activa waard zijn. Dit brengt twee problemen met zich mee: → Iedereen kon het aanroepen (geen toegangscontrole) → Het gebruikt live spotprijzen van Curve-pools

Dus als iemand die spotprijzen even zou kunnen vervormen, zouden ze de AUM van Makina kunnen vervormen. Die enkele aanname creëerde de opening.

De Aanval De aanvaller nam flashleningen van ongeveer $280 miljoen USDC van Aave en Morpho en deed enorme transacties in de MIM/3CRV Curve pool, waardoor de prijzen tijdelijk scheefgetrokken werden. Dit zijn dezelfde prijzen waarop het systeem van Makina vertrouwde voor het berekenen van AUM.

Terwijl de prijzen nog steeds gemanipuleerd werden, riep de aanvaller updateTotalAum() aan. Het systeem herberekende AUM met behulp van de nep opgeblazen prijzen. Plotseling leek elke DUSD-aandeel meer USDC waard te zijn dan het daadwerkelijk was.

De aanvaller wisselde DUSD → USDC tegen het opgeblazen tarief en ontving veel meer USDC dan de aandelen werkelijk waard waren. Vervolgens keerden ze de manipulatie van de Curve pool om, betaalden de $280M flashleningen terug en hielden het verschil van ongeveer $4,2M dat omgewisseld werd naar 1.299 ETH.

Hoewel @makinafi snel een aankondiging op Discord heeft gedaan, moest ik dit moeilijkere deel nemen om te begrijpen wat er is gebeurd en mijn publiek bij te werken, aangezien ik zo uitgesproken over hen ben geweest. Maar wat volgt hierna?

Ik zal een paar gedachten delen plus wat ik weet: - Alleen de DUSD pool van de curve is getroffen, dus als je een LP daar bent, zorg ervoor dat je zo snel mogelijk liquiditeit verwijdert. - Als je bang bent voor de toekomst van $DUSD, gebruik dan @pendle_fi swap om te verkopen (het is beter laat dan nooit). - Gebaseerd op POR, zijn de onderliggende activa intact (ze kunnen DUSD aanpassen om rekening te houden met dit prijsverschil).

En dat is een wrap. Als dit nuttig voor je is, kun je mijn werk ondersteunen door middel van partnerschappen, het delen en het reageren. Ik tag enkele chads in deze post: @phtevenstrong, @crypto_linn, @DefiIgnas @hmalviya9, @eli5_defi, @thesaint_ , @Hercules_Defi, @arndxt_xo, @rektdiomedes, @CryptoGirlNova, @patfscott, @DefiIgnas, @TheDeFiKenshin, @satyaki44, @Thenotellaking, @tradeguru, @YashasEdu, @hooeem

Opmerking: Dit is een subtiele poging om uit te leggen wat er is gebeurd op basis van gegevens. Het team of de beveiligingsinstelling met toegang tot volledige contracten en codes bevindt zich in de beste positie om een post-mortem analyse te delen.