CoinVoice hat kürzlich erfahren, dass der Dilation Effect in einem Beitrag auf X festgestellt hat, dass die Kernpool-Serie von Verträgen des Venus-Kreditprotokolls eine Präzisionsverlustanfälligkeit aufweist, die es Angreifern erleichtert, alle Mittel abzuziehen, wenn neue Sicherheiten hinzugefügt werden.
Konkret gibt es im VToken-Vertrag des Kernpools ein Problem mit der Präzision bei der Division im redeemUnderlying-Funktion, wenn redeemTokens berechnet werden. Wenn das Protokoll neue Sicherheiten auf der Blockchain hinzufügt und der LTV größer als 0 ist, sowie der neue Vermögenswert ein leerer Pool ist (totalSupply=0) und dieser neue Vermögenswert mintable ist, kann er von Hackern angegriffen werden. Dies bringt alle Mittel im Kernpool in Gefahr.
Dilation Effect empfiehlt, dass Venus diesen Fehler umfassend behebt (alle betroffenen Chains und Pools abdeckt). Mögliche Maßnahmen sind, das Ergebnis der Division bei der Berechnung von redeemTokens aufzurunden (empfohlen), das Design von initial_deposit_amount von Uniswap nachzuahmen oder die redeemUnderlying-Schnittstelle direkt zu entfernen usw. [Original-Link]