Сегодня ранее $DUSD ("Диалектический USD" от Makina Finance) на короткое время отклонился от привязки до ~$0.82, прежде чем отскочить. Это произошло после того, как @PeckShieldAlert сообщил о ~$4M инциденте, связанном с пулом DUSD/USDC Curve, вызванном манипуляцией ценами с помощью флеш-займа. Вот что на самом деле произошло ↓

Настройка Makina — это платформа доходности, где вы вносите USDC и получаете в ответ «акции» DUSD. Эти акции представляют собой вашу долю от общего объема активов под управлением (AUM), математически выраженную как: Цена акции = Общий AUM ÷ Общее количество акций

Таким образом, если AUM увеличивается, каждая акция стоит больше, а если уменьшается, каждая акция стоит меньше. Хотя это просто по своей сути, способ, которым они рассчитывали AUM, имел фатальный недостаток.

Уязвимость У Makina была функция под названием updateTotalAum(), которая пересчитывает, сколько стоят все активы. Это создает две проблемы: → Любой мог вызвать её (нет контроля доступа) → Она использует текущие рыночные цены из пулов Curve

Таким образом, если кто-то сможет искажать эти спотовые цены на мгновение, они смогут исказить AUM Makina. Это единственное предположение создало возможность.

Атака Злоумышленник взял флеш-займы на сумму ~$280 миллионов USDC от Aave и Morpho и совершил крупные сделки в пуле MIM/3CRV на Curve, временно искажая цены. Это те же цены, которым система Makina доверяла для расчета AUM.

Пока цены все еще манипулировались, злоумышленник вызвал updateTotalAum(). Система пересчитала AUM, используя поддельные завышенные цены. Вдруг каждая доля DUSD оказалась стоить больше USDC, чем на самом деле.

Злоумышленник обменял DUSD → USDC по завышенному курсу и получил гораздо больше USDC, чем на самом деле стоили акции. Затем они отменили манипуляцию с пулом Curve, вернули $280M мгновенных кредитов и оставили разницу ~$4.2M, обменянную на 1,299 ETH.

Хотя @makinafi быстро объявил в Discord, мне пришлось взять на себя эту более сложную часть, чтобы понять, что произошло, а также обновить свою аудиторию, так как я был так откровенен по поводу них. Но что будет дальше?

Я поделюсь несколькими мыслями и тем, что я знаю: - Только пул DUSD на кривой затронут, так что если вы LP там, обязательно уберите ликвидность как можно скорее - Если вы боитесь за будущее $DUSD, используйте @pendle_fi для обмена и продажи (лучше поздно, чем никогда) - Основываясь на POR, основные активы остаются нетронутыми (они могут скорректировать DUSD, чтобы учесть эту разницу в цене акций)

И на этом всё. Если это вам полезно, вы можете поддержать мою работу через партнерство, перепосты и комментарии. Отмечаю некоторых чатов в этом посте: @phtevenstrong, @crypto_linn, @DefiIgnas @hmalviya9, @eli5_defi, @thesaint_ , @Hercules_Defi, @arndxt_xo, @rektdiomedes, @CryptoGirlNova, @patfscott, @DefiIgnas, @TheDeFiKenshin, @satyaki44, @Thenotellaking, @tradeguru, @YashasEdu, @hooeem

Примечание: Это тонкая попытка объяснить, что произошло на основе данных. Команда или учреждение безопасности, имеющее доступ к полным контрактам и кодам, остается в наилучшей позиции для проведения постмортем-анализа.