Foresight News 消息,Web3 安 toàn cộng đồng Dilation Effect đã phát hiện ra rằng hợp đồng loạt core pool của giao thức cho vay Venus tồn tại lỗ hổng mất độ chính xác, khi giao thức thêm tài sản thế chấp mới, rất dễ dàng để kẻ tấn công lợi dụng, rút cạn toàn bộ tiền. Cụ thể, hợp đồng VToken của core pool có vấn đề mất độ chính xác trong phép chia khi tính toán redeemTokens trong hàm redeemUnderlying. Nếu giao thức thêm tài sản thế chấp mới trên chuỗi, khi LTV lớn hơn 0 và pool tài sản mới là một pool trống (totalSupply=0), khi tài sản mới có thể mint được, nó sẽ bị hacker tấn công. Điều này khiến tất cả tiền trong core pool đối mặt với rủi ro.
Họ đề nghị Venus nên hoàn toàn khắc phục lỗ hổng này (bao phủ tất cả các chuỗi liên quan và tất cả các pool), các phương pháp có thể bao gồm làm tròn lên kết quả phép chia khi tính toán redeemTokens (được khuyến nghị), hoặc bắt chước thiết kế của Uniswap sử dụng initial_deposit_amount, hoặc trực tiếp xóa giao diện redeemUnderlying, v.v.