なぜ許可なしDeFiは諸刃の剣なのでしょうか? dTRINITYが今日25万7千ドルで搾取された。実際に起こったことは以下の通りです: 彼らのdLENDプール(Aave v3フォーク)には、cbBTC aTokenシェアの計算に丸めの欠陥がありました。MintとBurnは同じハーフアップの四捨五入変換を使っていました。流動性指数が高い場合、引き出しは預金を上回ることもあります。 攻撃者はフラッシュローンを行い、~$772 USDCを~$4.8Mの担保として預け入れ、25万7千ドルを借り入れ、その後127回の入出金サイクルをヘルプ契約でループさせました。各サイクルで、投入されたより多くのcbBTCが抽出されました。 ガソリン後の純利益:+$257,000。プールTVLは~$435,000でした。 3月5日、@HypurrFiは3.5以前のAave v3バージョンで同じエクスプロイトパターンを持つ構造的な丸め脆弱性を公表しました。条件:高単価トークン、低小数点、低ガス料金。cbBTCは3つすべてをチェックします。 dLENDはAave v3フォークです。パッチ適用版を実行しているかは不明ですが、12日前の既知の脆弱性と一致するエクスプロイトは疑問を投げかけます。