Повідомлення ChainCatcher, Dilation Effect в X опублікував, що він виявив вразливість втрати точності в серії контрактів основного пулу Venus кредитного протоколу, коли протокол додає нові заставні активи, що дозволяє атакуючим скористатися ситуацією та вивести всі кошти.
Конкретно, в контракті VToken основного пулу існує проблема втрати точності при діленні у функції redeemUnderlying під час обчислення redeemTokens. Якщо протокол додає нові заставні активи в ланцюг, коли LTV більше 0, і новий пул активів є порожнім (totalSupply=0), коли новий актив є mintable, він може бути атакований хакерами. Це ставить під загрозу всі кошти в основному пулі.
Dilation Effect рекомендує Venus повністю виправити цю вразливість (покривши всі залучені ланцюги та всі пула), можливі заходи включають округлення результатів ділення вгору при обчисленні redeemTokens (рекомендується), або наслідування дизайну Uniswap за допомогою initial_deposit_amount, або безпосереднє видалення інтерфейсу redeemUnderlying тощо.