Mesajul ChainCatcher, Dilation Effect a declarat în X că a descoperit o vulnerabilitate de pierdere a preciziei în seria de contracte core pool ale protocolului de împrumut Venus, atunci când protocolul adaugă un nou activ colateral, este foarte ușor ca atacatorii să profite de ocazie și să epuizeze toate fondurile.
În mod specific, contractul VToken al core pool-ului are o problemă de pierdere a preciziei în divizare atunci când calculează redeemTokens în funcția redeemUnderlying. Dacă protocolul adaugă un nou activ colateral pe lanț, când LTV este mai mare de 0 și noua piscină de active este o piscină goală (totalSupply=0), atunci când noul activ este mintable, acesta poate fi atacat de hackeri. Acest lucru pune toate fondurile din core pool în pericol.
Dilation Effect recomandă ca Venus să poată remedia complet această vulnerabilitate (acoperind toate lanțurile implicate și toate pool-urile), metodele care ar putea fi adoptate includ rotunjirea în sus a rezultatelor divizării atunci când se calculează redeemTokens (recomandat), sau imitarea designului folosind initial_deposit_amount în Uniswap, sau eliminarea directă a interfeței redeemUnderlying etc.