Deep Tide TechFlow Nachricht, 26. November, Dilation Effect hat einen Präzisionsverlustfehler in den Kern-Pool-Verträgen des Venus-Kreditprotokolls entdeckt. Wenn das Protokoll neue Sicherheiten hinzufügt, können Angreifer leicht die Gelegenheit nutzen, um alle Gelder abzuziehen. Genauer gesagt, besteht im VToken-Vertrag des Kernpools im redeemUnderlying-Funktion ein Problem mit dem Präzisionsverlust bei der Berechnung von redeemTokens. Wenn das Protokoll on-chain neue Sicherheiten hinzufügt und der LTV größer als 0 ist, und der neue Vermögenspools ein leerer Pool (totalSupply=0) ist, wird es angegriffen, wenn das neue Vermögen mintable ist. Dies setzt alle Gelder im Kernpool einem Risiko aus.
Dilation Effect empfiehlt, dass Venus diesen Fehler umfassend behebt (alle betroffenen Ketten und Pools einbezieht). Mögliche Maßnahmen umfassen das Aufrunden des Divisionsergebnisses bei der Berechnung von redeemTokens (empfohlen), das Nachahmen des Designs von Uniswap mit initial_deposit_amount oder das direkte Entfernen der redeemUnderlying-Schnittstelle usw.