Mais cedo hoje, $DUSD ("Dialectic USD" da Makina Finance) caiu brevemente para ~$0,82 antes de quicar. Isso ocorreu após @PeckShieldAlert sinalizar um incidente de ~$4 milhões vinculado ao pool da curva DUSD/USDC, motivado por uma manipulação flash de preços de empréstimos. Aqui está o que realmente aconteceu ↓

A Configuração Makina é uma plataforma de rendimento onde você deposita USDC e recebe "ações" do DUSD em troca. Essas ações representam sua fatia do total de ativos sob gestão (AUM) mostrada matematicamente como: Preço da ação = Total de ativos ativos ÷ total de ações

Então, se o AUM aumenta, cada ação vale mais e, se cair, cada parte vale menos. Embora isso seja simples no design, a forma como eles criticaram AUM teve uma falha fatal.

A Vulnerabilidade A Makina tinha uma função chamada updateTotalAum() que recalcula o valor de todos os ativos. Isso apresenta dois problemas: → Qualquer um poderia chamar (sem controle de acesso) → Utiliza preços ao vivo de pools Curve

Então, se alguém pudesse distorcer esses preços à vista por um momento, poderia distorcer a AUM da Makina. Essa única suposição criou a abertura.

O Ataque O atacante fez empréstimos relâmpago de ~$280 milhões de USDC da Aave e da Morpho e realizou grandes operações no pool da curva MIM/3CRV, distorcendo temporariamente os preços. Esses são os mesmos preços em que o sistema da Maquina confiava para calcular AUM.

Enquanto os preços ainda eram manipulados, o atacante chamou updateTotalAum(). O sistema recalculou o AUM usando os preços inflacionados falsos. De repente, cada ação do DUSD parecia valer mais USDC do que realmente valia.

O atacante trocou DUSD → USDC à taxa inflacionada e recebeu muito mais USDC do que as ações realmente valiam. Depois, reverteram a manipulação do pool de curvas, pagaram os empréstimos flash de $280 milhões e mantiveram a diferença de $4,2 milhões trocada para 1.299 ETH.

Embora @makinafi tenha feito um anúncio rápido no Discord, tive que enfrentar essa parte mais difícil para entender o que aconteceu e também atualizar meu público, já que tenho sido muito vocal sobre eles. Mas o que vem a seguir?

Vou compartilhar algumas impressões e o que sei: - Apenas o pool de curva DUSD é afetado, então se você for um LP lá, certifique-se de remover liquidez o quanto antes - Se você está com medo do futuro da $DUSD, use @pendle_fi swap para vender (antes tarde do que nunca) - Com base no POR, os ativos subjacentes permanecem intactos (eles podem ajustar o DUSD para considerar essa diferença de preço da ação)

E é isso. Se isso for útil para você, pode apoiar meu trabalho por meio de parcerias, recompartilhamentos e comentários. Colocando algumas referências neste post: @phtevenstrong, @crypto_linn, @DefiIgnas @hmalviya9, @eli5_defi, @thesaint_, @Hercules_Defi, @arndxt_xo, @rektdiomedes, @CryptoGirlNova, @patfscott, @DefiIgnas, @TheDeFiKenshin, @satyaki44, @Thenotellaking, @tradeguru, @YashasEdu, @hooeem

Nota: Esta é uma tentativa sutil de explicar o que aconteceu com base em dados. A equipe ou instituição de segurança com acesso a contratos e códigos completos permanece na melhor posição para compartilhar a análise pós-moterm.