🚨 @VenusProtocol Bypass Tutup Pasokan melalui Transfer ERC-20 Langsung Kelemahan Compound V2 yang diketahui memungkinkan penyerang untuk meningkatkan nilai tukar vTHE 3,81× hanya dengan mentransfer token langsung ke kontrak vToken, melewati batas pasokan 14,5 juta THE sepenuhnya. 9 bulan persiapan. 50 transaksi serangan. $5 juta diekstraksi. Inilah yang terjadi 👇

Akar Penyebab getCashPrior() di VBep20.sol membaca nilai tukar dari balanceOf(address(this)) Batas pasokan hanya diberlakukan di dalam mint() Tetapi transfer ERC-20 mentah ke alamat vToken tidak pernah memanggil mint() Jadi: 1️⃣ Penyerang mentransfer THE langsung ke kontrak vTHE 2️⃣ balanceOf() meningkat secara diam-diam 3️⃣ Nilai tukar mengembang secara instan 4️⃣ Saldo vTHE yang sama sekarang mengklaim 3,81× lebih banyak nilai agunan 5️⃣ Pinjam CAKE/BNB - swap ke THE - transfer ke vTHE - ulangi 50 loop. 12.2M ITU - 53.2M ITU. 3.67× di atas batas pasokan.