TechFlowの報道によると、11月26日、Dilation EffectはVenusのレンディングプロトコルのcore poolシリーズのコントラクトに精度損失の脆弱性を発見した。この脆弱性により、プロトコルが新たな担保資産を追加する際に攻撃者が容易に悪用し、全資金を引き出すことが可能になる。具体的には、core poolのVTokenコントラクトにおいて、redeemUnderlying関数でのredeemTokens計算時に除算における精度損失の問題が存在する。プロトコルがブロックチェーン上で新たな担保資産を追加する際、LTVが0より大きく、かつ新規アセットプールが空の状態(totalSupply=0)であり、かつその新規アセットがmintableである場合、ハッカーによる攻撃を受けやすくなる。これにより、core pool内のすべての資金がリスクにさらされることになる。
Dilation Effectは、Venusに対してこの脆弱性について全ネットワークおよび全プールにわたり完全に修復することを提案している。対応策としては、redeemTokensの計算時における除算結果を切り上げる方法(推奨)、Uniswapのinitial_deposit_amount設計を模倣する方法、またはredeemUnderlyingインターフェースを直接削除する方法などが挙げられる。




