Foresight News の報告によれば、Web3 セキュリティコミュニティ Dilation Effect は、Venus 借貸協定の core pool シリーズ契約に精度損失の脆弱性が存在することを発見しました。新しい担保資産を追加する際、攻撃者が容易に侵入し、すべての資金を引き出すことができます。具体的には、core pool の VToken 契約は、redeemUnderlying 関数内で redeemTokens を計算する際に除算の精度損失の問題があります。協定がチェーン上で新しい担保資産を追加すると、LTV が 0 より大きく、新しい資産プールが空のプール(totalSupply=0)の場合、新しい資産が mintable であると、ハッカーの攻撃を受ける可能性があります。これにより、すべての core pool 内の資金が危険にさらされています。

Dilation Effect は、Venus がこの脆弱性を完全に修正することを提案しています(関与するすべてのチェーンとすべてのプールをカバー)。推奨される方法には、redeemTokens を計算する際に除算結果を切り上げること(推奨)、Uniswap の initial_deposit_amount の設計を模倣すること、または redeemUnderlying インターフェースを直接削除することが含まれます。