Mensagem do ChainCatcher, Dilation Effect publicou que descobriu uma vulnerabilidade de perda de precisão nos contratos da série core pool do protocolo de empréstimo Venus, que ao adicionar novos ativos colaterais, facilita a entrada de atacantes, que podem esvaziar todos os fundos.
Especificamente, o contrato VToken do core pool apresenta um problema de perda de precisão na divisão ao calcular redeemTokens na função redeemUnderlying. Se o protocolo adicionar um novo ativo colateral na blockchain, quando o LTV for maior que 0 e o novo ativo for um pool vazio (totalSupply=0), e se o novo ativo for mintable, ele poderá ser atacado por hackers. Isso coloca todos os fundos dentro do core pool em risco.
Dilation Effect sugere que Venus deve corrigir completamente essa vulnerabilidade (cobrindo todas as chains e todos os pools envolvidos), métodos que podem ser adotados incluem arredondar para cima os resultados da divisão ao calcular redeemTokens (recomendado), ou imitar o design do initial_deposit_amount do Uniswap, ou remover diretamente a interface redeemUnderlying, entre outros.