Hôm nay, $DUSD ("Dialectic USD" của Makina Finance) đã tạm thời mất giá xuống khoảng ~$0.82 trước khi phục hồi. Điều này xảy ra sau khi @PeckShieldAlert cảnh báo về một sự cố khoảng ~$4 triệu liên quan đến pool DUSD/USDC Curve, do thao túng giá bằng vay mượn nhanh. Dưới đây là những gì thực sự đã xảy ra ↓

Cài đặt Makina là một nền tảng sinh lợi nơi bạn gửi USDC và nhận lại “cổ phiếu” DUSD. Những cổ phiếu đó đại diện cho phần của bạn trong tổng tài sản đang quản lý (AUM) được thể hiện toán học như sau: Giá cổ phiếu = Tổng AUM ÷ Tổng cổ phiếu

Vì vậy, nếu AUM tăng lên, mỗi cổ phiếu sẽ có giá trị cao hơn và nếu nó giảm xuống, mỗi cổ phiếu sẽ có giá trị thấp hơn. Mặc dù điều này đơn giản về thiết kế, cách họ tính toán AUM lại có một sai sót nghiêm trọng.

Lỗ hổng Makina có một chức năng gọi là updateTotalAum() để tính toán lại giá trị của tất cả các tài sản. Điều này gây ra hai vấn đề: → Bất kỳ ai cũng có thể gọi nó (không có kiểm soát truy cập) → Nó sử dụng giá spot trực tiếp từ các pool Curve

Vì vậy, nếu ai đó có thể làm biến dạng những giá giao ngay đó trong một khoảnh khắc, họ có thể làm biến dạng AUM của Makina. Giả định đơn lẻ đó đã tạo ra cơ hội.

Cuộc Tấn Công Kẻ tấn công đã vay tiền nhanh khoảng ~$280 triệu USDC từ Aave và Morpho và thực hiện các giao dịch lớn trong bể Curve MIM/3CRV, tạm thời làm lệch giá cả. Đây là những mức giá mà hệ thống của Makina đã tin tưởng để tính toán AUM.

Trong khi giá cả vẫn bị thao túng, kẻ tấn công đã gọi updateTotalAum(). Hệ thống đã tính toán lại AUM bằng cách sử dụng các giá giả bị thổi phồng. Đột nhiên, mỗi cổ phiếu DUSD dường như có giá trị nhiều USDC hơn so với thực tế.

Kẻ tấn công đã hoán đổi DUSD → USDC với tỷ lệ bị thổi phồng và nhận được nhiều USDC hơn giá trị thực sự của các cổ phần. Sau đó, họ đã đảo ngược thao tác trên pool Curve, trả lại khoản vay chớp nhoáng 280 triệu đô la, và giữ lại phần chênh lệch khoảng 4,2 triệu đô la đã hoán đổi thành 1,299 ETH.

Mặc dù @makinafi đã đưa ra thông báo nhanh chóng trên Discord, nhưng tôi phải mất thời gian để hiểu rõ hơn về những gì đã xảy ra cũng như cập nhật cho khán giả của mình vì tôi đã rất công khai về họ. Nhưng điều gì sẽ xảy ra tiếp theo?

Tôi sẽ chia sẻ một vài suy nghĩ cùng với những gì tôi biết: - Chỉ có pool DUSD của curve bị ảnh hưởng, vì vậy nếu bạn là LP ở đó, hãy chắc chắn rút thanh khoản ngay lập tức - Nếu bạn lo lắng về tương lai của $DUSD, hãy sử dụng @pendle_fi để hoán đổi và bán (thà muộn còn hơn không) - Dựa trên POR, tài sản cơ sở vẫn nguyên vẹn (họ có thể điều chỉnh DUSD để tính đến sự chênh lệch giá cổ phiếu này)

Và đó là kết thúc. Nếu điều này hữu ích cho bạn, bạn có thể hỗ trợ công việc của tôi thông qua việc hợp tác, chia sẻ lại và bình luận. Gắn thẻ một số chads vào bài viết này: @phtevenstrong, @crypto_linn, @DefiIgnas @hmalviya9, @eli5_defi, @thesaint_ , @Hercules_Defi, @arndxt_xo, @rektdiomedes, @CryptoGirlNova, @patfscott, @DefiIgnas, @TheDeFiKenshin, @satyaki44, @Thenotellaking, @tradeguru, @YashasEdu, @hooeem

Lưu ý: Đây là một nỗ lực tinh tế để giải thích những gì đã xảy ra dựa trên dữ liệu. Nhóm hoặc tổ chức an ninh có quyền truy cập vào các hợp đồng và mã nguồn đầy đủ vẫn ở vị trí tốt nhất để chia sẻ phân tích sau khi kết thúc.