Tidigare idag sjönk $DUSD (Makina Finances "Dialectic USD") kortvarigt till ~0,82 dollar innan den studsade. Detta följde efter att @PeckShieldAlert flaggat en incident på ~4 miljoner dollar kopplad till DUSD/USDC-kurvpoolen, driven av en snabb manipulation av lånepriserna. Här är vad som verkligen hände ↓

Upplägget Makina är en avkastningsplattform där du sätter in USDC och får DUSD-"aktier" i gengäld. Dessa aktier representerar din andel av de totala förvaltade tillgångarna (AUM) matematetiskt visat som: Aktiepris = Total AUM ÷ totala aktier

Så om AUM stiger är varje andel värd mer och om den går ner är varje andel värd mindre. Även om detta är enkelt i designen, hade sättet de klandrade AUM på en dödlig brist.

Sårbarheten Makina hade en funktion som hette updateTotalAum() som räknar om hur mycket alla tillgångar är värda. Detta medför två problem: → Vem som helst kan kalla det (ingen åtkomstkontroll) → Den använder live spotpriser från kurvpooler

Så om någon kunde förvränga spotpriserna för ett ögonblick, skulle de kunna förvränga Makinas AUM. Den enda förutsättningen skapade öppningen.

Attacken Gärningsmannen tog snabblån på ~280 miljoner USD från Aave och Morpho och gjorde massiva affärer i MIM/3CRV-kurvpoolen, vilket tillfälligt snedvridit priserna. Detta är samma priser som Makinas system litade på för att beräkna UM.

Medan priserna fortfarande manipulerades kallade angriparen updateTotalAum(). Systemet räknade om AUM med hjälp av de falskt uppblåsta priserna. Plutsligt verkade varje DUSD-aktie vara värd mer USDC än den faktiskt var.

Angriparen bytte DUSD → USDC till den uppblåsta kursen och fick betydligt mer USDC än vad aktierna egentligen var värda. Sedan vände de manipulationen av kurvpoolen, betalade tillbaka flashlånen på 280 miljoner dollar och behöll skillnaden ~4,2 miljoner dollar bytt till 1 299 ETH.

Även om @makinafi gjort ett snabbt tillkännagivande på Discord, var jag tvungen att ta den här svårare delen för att förstå vad som hänt och samtidigt uppdatera min publik eftersom jag varit så högljudd om dem. Men vad händer härnäst?

Jag kommer att dela med mig av några tankar plus vad jag vet: - Endast kurvan DUSD-pool påverkas så om du är LP där, se till att ta bort likviditeten så snart som möjligt - Om du är rädd för $DUSD framtid, använd @pendle_fi swap för att sälja (det är bättre sent än aldrig) - Baserat på POR är underliggande tillgångar intakta (de kan justera DUSD för att ta hänsyn till denna aktiekursskillnad)

Och det var allt. Om detta är till hjälp för dig kan du stödja mitt arbete genom samarbete, återdelning och kommentarer. Taggar några chads till detta inlägg: @phtevenstrong, @crypto_linn, @DefiIgnas @hmalviya9, @eli5_defi, @thesaint_, @Hercules_Defi, @arndxt_xo, @rektdiomedes, @CryptoGirlNova, @patfscott, @DefiIgnas, @TheDeFiKenshin, @satyaki44, @Thenotellaking, @tradeguru, @YashasEdu, @hooeem

Notera: Detta är ett subtilt försök att förklara vad som hände baserat på data. Teamet eller säkerhetsinstitutionen med tillgång till fullständiga kontrakt och koder är fortfarande bäst positionerad att dela analys efter månaden.