TechFlow đưa tin, ngày 26 tháng 11, Dilation Effect phát hiện ra lỗ hổng mất độ chính xác trong chuỗi hợp đồng core pool của giao thức cho vay Venus. Khi giao thức thêm tài sản thế chấp mới, kẻ tấn công rất dễ lợi dụng điểm yếu này để rút cạn toàn bộ quỹ. Cụ thể, hợp đồng VToken của core pool gặp vấn đề mất độ chính xác trong phép chia khi tính toán redeemTokens tại hàm redeemUnderlying. Nếu giao thức thêm tài sản thế chấp mới trên chuỗi, với LTV lớn hơn 0, đồng thời nhóm thanh khoản của tài sản mới là nhóm rỗng (totalSupply=0), và tài sản mới có khả năng mint, thì sẽ bị tin tặc khai thác. Điều này khiến toàn bộ tiền trong core pool đối mặt với rủi ro.
Dilation Effect đề nghị Venus cần sửa chữa triệt để lỗ hổng này (bao gồm tất cả các chuỗi và tất cả các pool liên quan), bằng cách thực hiện làm tròn lên kết quả phép chia khi tính toán redeemTokens (được khuyến nghị), hoặc mô phỏng thiết kế initial_deposit_amount như Uniswap, hoặc trực tiếp xóa bỏ giao diện redeemUnderlying.




