Mensaje de ChainCatcher, Dilation Effect publicó en X que ha encontrado una vulnerabilidad de pérdida de precisión en la serie de contratos del core pool del protocolo de préstamos Venus, que permite a los atacantes aprovecharse fácilmente cuando el protocolo aumenta nuevos activos colaterales, drenando todos los fondos.
Específicamente, el contrato VToken del core pool tiene un problema de pérdida de precisión en la división al calcular redeemTokens en la función redeemUnderlying. Si el protocolo agrega un nuevo activo colateral en la cadena, cuando LTV es mayor que 0 y el nuevo grupo de activos es un grupo vacío (totalSupply=0), si el nuevo activo es mintable, será vulnerable a ataques de hackers. Esto pone en riesgo todos los fondos dentro del core pool.
Dilation Effect sugiere que Venus debe reparar completamente esta vulnerabilidad (cubriendo todas las cadenas involucradas y todos los pools), las medidas que se pueden tomar incluyen redondear hacia arriba el resultado de la división al calcular redeemTokens (recomendado), o imitar el diseño de initial_deposit_amount utilizado por Uniswap, o eliminar directamente la interfaz redeemUnderlying, etc.