Hvorfor tillatelsesløs DeFi er et tveegget sverd? dTRINITY ble utnyttet for 257 000 dollar i dag. Slik skjedde det faktisk: deres dLEND-pool (en Aave v3-gaffel) hadde en avrundingsfeil i cbBTC aToken-delingsmatematikken. Mint og Burn brukte begge samme halv-opp avrundingskonvertering. Ved en høy likviditetsindeks kan uttak overstige innskuddene. angriperen lånte et flash-lån, satte inn ~772 USD verdsatt som ~4,8 millioner dollar som sikkerhet, lånte 257 000 dUSD, og gikk deretter i loop 127 innskudd/uttak-sykluser gjennom en hjelpekontrakt. hver syklus hentet ut litt mer cbBTC enn det som ble lagt inn. netto overskudd etter gass: ~257 000 dollar. TVL var bare 435 000 dollar i potten. 5. mars offentliggjorde @HypurrFi en strukturell avrundingssårbarhet i Aave v3-versjoner før 3.5 med samme utnyttelsesmønster. Betingelser: Høy tokenpris per enhet, lave desimaler, lave gassavgifter. cbBTC sjekker alle tre. dLEND er en Aave v3-fork. Det er uklart om de kjørte en oppdatert versjon, men utnyttelsen som matcher en kjent sårbarhet fra 12 dager tidligere reiser spørsmål.