CoinVoice ha informado recientemente que Dilation Effect en X declaró que ha encontrado una vulnerabilidad de pérdida de precisión en la serie de contratos del core pool del protocolo de préstamo Venus, lo que permite a los atacantes aprovecharse fácilmente cuando el protocolo añade nuevos activos colaterales, drenando todos los fondos.
Específicamente, el contrato VToken del core pool tiene un problema de pérdida de precisión en la división al calcular redeemTokens en la función redeemUnderlying. Si el protocolo añade nuevos activos colaterales en la cadena, cuando el LTV es mayor que 0 y el nuevo grupo de activos es un grupo vacío (totalSupply=0), si el nuevo activo es mintable, puede ser atacado por hackers. Esto pone en riesgo todos los fondos dentro del core pool.
Dilation Effect sugiere que Venus pueda reparar completamente esta vulnerabilidad (cubriendo todas las cadenas y todos los pools involucrados). Las medidas que se podrían tomar incluyen redondear hacia arriba el resultado de la división al calcular redeemTokens (recomendado), o imitar el diseño de initial_deposit_amount de Uniswap, o eliminar directamente la interfaz redeemUnderlying, etc. [Enlace original]