TechFlow 소식, 11월 26일 Dilation Effect는 Venus 대출 프로토콜의 core pool 시리즈 계약에 정밀도 손실 취약점이 있음을 발견했다. 프로토콜이 새로운 담보 자산을 추가할 경우 공격자가 이를 악용해 모든 자금을 탈취할 위험이 있다. 구체적으로 core pool의 VToken 계약은 redeemUnderlying 함수 내에서 redeemTokens를 계산할 때 나눗셈 과정에서 정밀도 손실 문제가 발생한다. 체인 상에서 새로운 담보 자산을 추가할 때 LTV가 0보다 크고, 새 자산 풀이 공백 풀(totalSupply=0)이며, 해당 자산이 mint 가능하면 해커의 공격이 가능해진다. 이로 인해 core pool 내 모든 자금이 위험에 노출된다.
Dilation Effect는 Venus가 이 취약점을 전면적으로 수정할 것을 권고하며(관련된 모든 체인과 모든 pool을 포함), 해결 방법으로는 redeemTokens 계산 시 나눗셈 결과를 올림 처리하는 것(권장), Uniswap의 initial_deposit_amount 설계를 모방하거나, redeemUnderlying 인터페이스를 직접 삭제하는 등의 방안을 제시했다.




