ChainCatcher-Nachricht, Dilation Effect berichtete, dass es einen Verlust der Genauigkeit im Core-Pool-Serievertrag des Venus-Kreditprotokolls entdeckt hat. Wenn das Protokoll neue Sicherheiten hinzufügt, können Angreifer leicht die Gelegenheit nutzen, um alle Mittel abzuziehen.
Konkret gibt es im VToken-Vertrag des Core-Pools ein Problem mit dem Verlust der Divisionsgenauigkeit bei der Berechnung der redeemTokens im redeemUnderlying-Funktion. Wenn das Protokoll neue Sicherheiten auf der Kette hinzufügt, kann es leicht von Hackern angegriffen werden, wenn der LTV größer als 0 ist und der neue Vermögenspool ein leerer Pool (totalSupply=0) ist und das neue Vermögen mintable ist. Dies setzt alle Mittel im Core-Pool einem Risiko aus.
Dilation Effect empfiehlt, dass Venus diesen Fehler umfassend behebt (alle beteiligten Ketten und Pools abdecken). Mögliche Ansätze sind, das Ergebnis der Division beim Berechnen der redeemTokens aufzurunden (empfohlen), das Design von initial_deposit_amount von Uniswap nachzuahmen oder direkt die redeemUnderlying-Schnittstelle zu löschen.