Tin tức TechFlow từ 深潮, ngày 26 tháng 11, Hiệu ứng Giãn nở phát hiện ra rằng hợp đồng chuỗi core pool của giao thức cho vay Venus có lỗ hổng mất độ chính xác. Khi giao thức thêm tài sản thế chấp mới, rất dễ khiến kẻ tấn công lợi dụng, rút hết toàn bộ vốn. Cụ thể, hợp đồng VToken của core pool có vấn đề mất độ chính xác trong phép chia khi tính toán redeemTokens trong hàm redeemUnderlying. Nếu giao thức thêm tài sản thế chấp mới trên chuỗi khi LTV lớn hơn 0 và hồ mới là hồ trống (totalSupply=0), khi tài sản mới có thể đúc, nó sẽ bị hacker tấn công. Điều này khiến tất cả vốn trong core pool gặp rủi ro.
Hiệu ứng Giãn nở 建议 Venus能全面修复此漏洞(覆盖涉及的全部链和全部 pool),可采取的方法包括在计算 redeemTokens时除法结果向上取整(推荐),或模仿 Uniswap sử dụng thiết kế initial_deposit_amount,hoặc trực tiếp xóa giao diện redeemUnderlying等。
