لماذا التمويل اللامركزي بدون إذن هو سيف ذو حدين؟ تم استغلال dTRINITY بمبلغ 257 ألف دولار اليوم. إليكم ما حدث فعليا: كان لدى مجموعة dLEND الخاصة بهم (تفرع Aave v3) عيب في التقريب في حسابات حصص aToken في cbBTC. استخدم كل من Mint وBurn نفس تحويل التقريب نصف للأعلى. عند مؤشر سيولة مرتفع، قد تتجاوز السحوبات الودائع. قام المهاجم بإقراض فلاش، وإيداع ~772 دولار USDC بقيمة ~4.8 مليون دولار ضمان، واقترض 257 ألف d$، ثم قام بدورة 127 دورة إيداع/سحب عبر عقد مساعد. كل دورة كانت تستخرج كمية أكبر من CBBTC مما تم إدخاله. صافي الربح بعد الوقود: ~257 ألف دولار. كان TVL في المسبح فقط ~435 ألف دولار. في 5 مارس، @HypurrFi كشفت علنا عن ثغرة في التقريب الهيكلي في إصدارات Aave v3 قبل 3.5 بنفس نمط الاستغلال. الشروط: سعر الرمز العالي لكل وحدة، أرقام عشرية منخفضة، رسوم غاز منخفضة. يقوم cbBTC بفحص الثلاثة جميعا. dLEND هو تفرع Aave v3. لا يزال من غير الواضح ما إذا كانوا يستخدمون نسخة معدلة، لكن تطابق الثغرة ثغرة معروفة قبل 12 يوما تثير تساؤلات.