CoinVoice a aflat recent că Dilation Effect a publicat un articol pe X, afirmând că a descoperit o vulnerabilitate de pierdere a preciziei în seria de contracte core pool ale protocolului de împrumut Venus, care permite atacatorilor să profite de ocazie atunci când protocolul adaugă noi active colaterale, epuizând toate fondurile.
În mod specific, contractul VToken al core pool-ului are o problemă de pierdere a preciziei în timpul calculului redeemTokens în funcția redeemUnderlying. Dacă protocolul adaugă un nou activ colateral pe lanț, când LTV este mai mare de 0 și noul activ este într-un bazin gol (totalSupply=0), iar noul activ este mintable, acesta poate fi atacat de hackeri. Aceasta pune toate fondurile din core pool în pericol.
Dilation Effect sugerează că Venus ar putea remedia complet această vulnerabilitate (acoperind toate lanțurile și toate pool-urile implicate) prin metode precum rotunjirea în sus a rezultatului divizării atunci când se calculează redeemTokens (recomandat), sau imitând designul folosind initial_deposit_amount de la Uniswap, sau eliminând direct interfața redeemUnderlying etc. [Link original]