火星财经消息,11 月 26 日,Dilation Effect 发现 Venus 借贷协议的 core pool 系列合约存在精度损失漏洞,当协议增加新抵押资产时,极容易让攻击者趁虚而入,抽干全部资金。具体来说,core pool 的 VToken 合约在 redeemUnderlying 函数中计算 redeemTokens 时存在除法精度损失问题。如果协议在链上增加新抵押资产,当 LTV 大于 0,且新资产池子是一个空池(totalSupply=0),当新资产是 mintable 时,就会被黑客攻击。这让所有 core pool 内的资金处于风险之中。Dilation Effect 建议 Venus 能全面修复此漏洞(覆盖涉及的全部链和全部 pool),可采取的方法包括在计算 redeemTokens 时除法结果向上取整(推荐),或模仿 Uniswap 使用 initial_deposit_amount 的设计,或直接删除 redeemUnderlying 接口等。
