14
Блокчейн-исследователь под псевдонимом Atiselsts прокомментировал инцидент со взломом DUSD-хранилища проекта Makina, связанный с пулом Curve DUSD/USDC. По его словам, основной причиной атаки стала манипуляция оракулом, использующим данные пула MIM-3CRV для расчета активов под управлением. Злоумышленник искусственно завысил показатели с помощью флеш-кредита.
Эксперт отметил, что подобные уязвимости напоминают атаки начала 2020-х годов, когда протоколы часто страдали от манипуляций ценовыми источниками. При этом он задался вопросом, почему данная проблема не была выявлена аудиторами и командой проекта. По его мнению, ключевая причина кроется в архитектурных особенностях Makina.
Atiselsts указал, что протокол использует ончейн-виртуальную машину WeirollVM, позволяющую исполнять заранее одобренные пользовательские инструкции. Именно они применялись для учета стоимости LP-позиций. Однако это и оказалось уязвимостью, подходящей для манипуляций и не вошедший в рамки проведенных аудитов.
Эксперт подчеркнул, что отчеты экспертов, включая анализ от ChainSecurity, прямо указывают на ограниченный охват проверки. Уязвимый механизм оценки активов не рассматривался как отдельный риск. В результате команда недооценила потенциальные угрозы, связанные с гибкой архитектурой.
В официальном отчете представители Makina также подтвердили, что причиной атаки стал уязвимый Weiroll-скрипт, использовавшийся для внутреннего учета позиции в пуле MIM-3CRV. Злоумышленники завысили цену MIM через «мгновенный займ», после чего искаженные данные были переданы в систему расчета AUM. Это привело к искусственному росту курса DUSD и последующему выводу USDC.
Согласно отчету, атака длилась около 11 минут и сопровождалась участием MEV-ботов и валидаторов. Большая часть прибыли в размере около 1299 ETH оказалась распределена между создателями блоков и валидаторами. При этом другие пулы и основные резервы DUSD не пострадали, а токен остался обеспеченным.
ru.bitcoinsistemi.com
1
bits.media
