Miksi luvaton DeFi on kaksiteräinen miekka? dTRINITYÄ hyväksikäytettiin tänään 257 000 dollarilla. Tässä mitä oikeasti tapahtui: heidän dLEND-poolissaan (Aave v3 -haarukka) oli pyöristysvirhe cbBTC aToken -osakematematiikassa. Mint ja Burn käyttivät samaa puolikkaan ylöspäin pyöristyskonversiota. Korkean likviditeettiindeksin kohdalla nostot voivat ylittää talletukset. hyökkääjä lainasi nopeasti ~$772 USDC, jonka arvo oli ~$4,8M vakuudeksi, lainasi 257K dUSD ja siirsi 127 talletus/nosto-sykliä apusopimuksen kautta. jokainen kierros tuotti hieman enemmän cbBTC:tä kuin mihin oli laitettu. nettovoitto kaasun jälkeen: ~257 000 dollaria. Pool-TVL oli vain ~435 000 dollaria. 5. maaliskuuta @HypurrFi julkisti rakenteellisen pyöristyshaavoittuvuuden Aave v3 -versioissa ennen versiota 3.5 samalla haavoittuvuusmallilla. Olosuhteet: korkea yksikkökohtainen tokenin hinta, matalat desimaalit, alhaiset kaasumaksut. cbBTC tarkistaa kaikki kolme. dLEND on Aave v3 -haarukka. Ei ole selvää, käyttivätkö he korjattua versiota, mutta 12 päivää aiemmin tunnetun haavoittuvuuden vastaaminen herättää kysymyksiä.