ChainCatcher 消息,Dilation Effect 在 X 平台上爆料,Venus 借贷协议的 core pool 系列合约被发现存在精度损失漏洞,这可是个大新闻!😮
具体问题出在 VToken 合约的 redeemUnderlying 函数上,计算 redeemTokens 时的除法精度损失,可能让攻击者有机可乘,抽干资金。尤其是在协议增加新抵押资产时,若 LTV 大于 0 且新资产池子是空的,黑客就能轻松入侵。💰
Dilation Effect 建议 Venus 采取措施修复漏洞,包括在计算时向上取整,或模仿 Uniswap 的设计,甚至考虑删除 redeemUnderlying 接口。🔧
这次事件提醒我们,区块链安全不容小觑。🔍