CoinVoice недавно узнал, что Dilation Effect в X заявил, что обнаружил у протокола Venus в серии контрактов core pool уязвимость потери точности, которая становится легкой мишенью для атакующих, позволяя им полностью вывести средства, когда протокол добавляет новый залоговый актив.
Конкретно, в контракте VToken core pool есть проблема потери точности деления при вычислении redeemTokens в функции redeemUnderlying. Если протокол добавляет новый залоговый актив в сеть и LTV больше 0, а новый активный пул является пустым пулом (totalSupply=0), когда новый актив можно выпускать, он может быть атакован хакерами. Это ставит под угрозу все средства внутри core pool.
Dilation Effect предлагает Venus полностью исправить эту уязвимость (покрытие всех цепочек и всех пулов). Возможные меры включают округление результата деления вверх при вычислении redeemTokens (рекомендуется), или имитацию дизайна Uniswap с использованием initial_deposit_amount, или прямое удаление интерфейса redeemUnderlying и т.д. [Ссылка на оригинал]