TechFlow, 26 novembre — Dilation Effect a découvert une vulnérabilité liée à une perte de précision dans les contrats de la série « core pool » du protocole de prêt Venus. Lorsque le protocole ajoute un nouvel actif en garantie, cette faille peut facilement être exploitée par des attaquants pour vider complètement les fonds. Plus précisément, le contrat VToken du « core pool » présente un problème de perte de précision due à une division lors du calcul de « redeemTokens » dans la fonction « redeemUnderlying ». Si un nouvel actif est ajouté sur la chaîne, que son LTV est supérieur à 0, que le pool associé est vide (totalSupply = 0) et que cet actif est mintable, il devient alors possible pour un pirate d'exploiter cette faille. Cela met en danger tous les fonds présents dans les « core pools ».
Dilation Effect recommande à Venus de corriger intégralement cette vulnérabilité (sur toutes les blockchains et tous les pools concernés), en adoptant par exemple l'arrondi au supérieur pour les résultats des divisions lors du calcul de « redeemTokens » (solution recommandée), ou en s'inspirant du design d'Uniswap utilisant un « initial_deposit_amount », ou encore en supprimant directement l'interface « redeemUnderlying ».




