Mai devreme astăzi, $DUSD ("Dialectic USD" de la Makina Finance) a scăzut temporar la ~0,82 dolari înainte să se retragă. Acest lucru a urmat după ce @PeckShieldAlert semnalat un incident de ~4 milioane de dolari legat de fondul DUSD/USDC, determinat de o manipulare rapidă a prețului unui împrumut. Iată ce s-a întâmplat cu adevărat ↓

Structura Makina este o platformă de randament unde depui USDC și primești "acțiuni" DUSD în schimb. Aceste acțiuni reprezintă partea dumneavoastră din totalul activelor administrate (AUM) prezentate matematic astfel: Prețul acțiunilor = Total AUM ÷ Total acțiuni

Deci, dacă AUM crește, fiecare acțiune valorează mai mult, iar dacă scade, fiecare acțiune valorează mai puțin. Deși acest design este simplu, modul în care au criticat AUM a avut un defect fatal.

Vulnerabilitatea Makina avea o funcție numită updateTotalAum() care recalculează cât valorează toate activele. Acest lucru aduce două probleme: → Oricine putea spune asta (fără control de acces) → Folosește prețuri spot live din pool-urile

Așadar, dacă cineva ar putea distorsiona acele prețuri spot pentru o clipă, ar putea distorsiona AUM-ul lui Makina. Acea singură presupunere a creat deschiderea.

Atacul Atacatorul a luat împrumuturi flash de ~280 milioane USDC de la Aave și Morpho și a efectuat tranzacții masive în pool-ul MIM/3CRV, denaturând temporar prețurile. Acestea sunt aceleași prețuri în care sistemul Makina avea încredere pentru calcularea AUM.

În timp ce prețurile erau încă manipulate, atacatorul a numit updateTotalAum(). Sistemul a recalculat AUM folosind prețurile false umflate. Dintr-o dată, fiecare acțiune DUSD părea să valoreze mai mult USDC decât valora în realitate.

Atacatorul a schimbat DUSD → USDC la un preț umflat și a primit mult mai mult USDC decât valorau cu adevărat acțiunile. Apoi au inversat manipularea fondului, au rambursat creditele flash de 280 milioane de dolari și au păstrat diferența de ~4,2 milioane de dolari schimbată la 1.299 ETH.

Deși @makinafi a făcut un anunț rapid pe Discord, a trebuit să trec prin această parte mai dificilă ca să înțeleg ce s-a întâmplat și să-mi țin publicul la curent, pentru că am fost atât de vocal despre ei. Dar ce urmează?

Voi împărtăși câteva gânduri plus ce știu: - Doar pool-ul DUSD al curbei este afectat, așa că dacă ești LP acolo, asigură-te că elimini lichiditatea cât mai curând posibil - Dacă îți este frică de viitorul $DUSD, folosește @pendle_fi swap pentru a vinde (mai bine mai târziu decât niciodată) - Pe baza POR, activele de bază sunt intacte (pot ajusta DUSD pentru a ține cont de această diferență de preț a acțiunilor)

Și asta e tot. Dacă vă este de ajutor, puteți susține munca mea prin parteneriat, reîmpărtășire și comentarii. Etichetez câteva chad-uri la această postare: @phtevenstrong, @crypto_linn, @DefiIgnas @hmalviya9, @eli5_defi, @thesaint_, @Hercules_Defi, @arndxt_xo, @rektdiomedes, @CryptoGirlNova, @patfscott, @DefiIgnas, @TheDeFiKenshin, @satyaki44, @Thenotellaking, @tradeguru, @YashasEdu, @hooeem

Notă: Aceasta este o încercare subtilă de a explica ce s-a întâmplat pe baza datelor. Echipa sau instituția de securitate cu acces la contracte și coduri complete rămâne în cea mai bună poziție pentru a partaja analiza post-moterm.