Perché la DeFi senza permessi è una spada a doppio taglio? dTRINITY è stata sfruttata per $257K oggi. Ecco cosa è realmente successo: il loro pool dLEND (un fork di Aave v3) aveva un difetto di arrotondamento nei calcoli delle quote aToken cbBTC. sia il mint che il burn utilizzavano la stessa conversione di arrotondamento verso l'alto. A un alto indice di liquidità, i prelievi potevano superare i depositi. L'attaccante ha preso un prestito flash, ha depositato ~$772 USDC valutati come ~$4.8M di collaterale, ha preso in prestito 257K dUSD, quindi ha eseguito 127 cicli di deposito/prelievo attraverso un contratto di supporto. Ogni ciclo estraeva un po' più di cbBTC di quanto fosse stato messo. Guadagno netto dopo il gas: ~$257K. Il TVL del pool era solo di ~$435K. Il 5 marzo, @HypurrFi ha divulgato pubblicamente una vulnerabilità strutturale di arrotondamento nelle versioni di Aave v3 precedenti alla 3.5 con lo stesso schema di sfruttamento. condizioni: alto prezzo per unità di token, pochi decimali, basse commissioni di gas. cbBTC soddisfa tutte e tre. dLEND è un fork di Aave v3. Non è chiaro se stessero eseguendo una versione corretta, ma l'exploit che corrisponde a una vulnerabilità nota di 12 giorni fa solleva domande.