🚨 @VenusProtocol ERC-20直接転送による供給キャップバイパス 既知のCompound V2の欠陥により×攻撃者は単にトークンをvToken契約に直接送金することでvTHEの為替レートを3.81膨らませ、1450万のTE供給上限を完全に回避しました。 9か月の準備期間。50件の攻撃取引。500万ドルの引き出だ。 起こ👇ったことはこうです

根本原因 VBep20.solのgetCashPrior()はbalanceOf(address(this))から為替レートを読み取ります。 供給上限はミント内でのみ強制されています。 しかし、生のERC-20転送()をvTokenアドレスに送る場合はmint()を呼び出しません。 つまり: 1️そして攻撃者がTEを直接vTHEコントラクトに移す 2️^ balanceOf() は静かに増加します 3️そして為替レートは瞬時に上昇します 4️そして同じvTHE残高は現在3.81×の担保価値を主張しています 5️そして CAKE/BNBを借りる - T(THE CO)にスワップ - VTHE (vTHE ) - 繰り返す 50ループ。12.2M - 53.2M the。供給上限を超えて3.67×。