Pourquoi la DeFi sans autorisation est-elle une arme à double tranchant ? dTRINITY a été exploité pour 257K $ aujourd'hui. voici ce qui s'est réellement passé : leur pool dLEND (un fork d'Aave v3) avait un défaut d'arrondi dans le calcul des parts aToken cbBTC. le mint et le burn utilisaient tous deux la même conversion d'arrondi vers le haut. à un indice de liquidité élevé, les retraits pouvaient dépasser les dépôts. l'attaquant a emprunté en flash, déposé environ 772 USDC évalués à environ 4,8 millions $ en garantie, emprunté 257K dUSD, puis a effectué 127 cycles de dépôt/retrait via un contrat d'assistance. chaque cycle a extrait un peu plus de cbBTC que ce qui a été mis. profit net après les frais de gaz : environ 257K $. la TVL du pool n'était que d'environ 435K $. le 5 mars, @HypurrFi a publiquement divulgué une vulnérabilité structurelle d'arrondi dans les versions d'Aave v3 antérieures à 3.5 avec le même schéma d'exploitation. conditions : prix par unité de jeton élevé, faibles décimales, faibles frais de gaz. cbBTC vérifie les trois. dLEND est un fork d'Aave v3. il n'est pas clair s'ils exécutaient une version corrigée, mais l'exploitation correspondant à une vulnérabilité connue d'il y a 12 jours soulève des questions.