Waarom is permissionless DeFi een dubbelzijdig zwaard? dTRINITY is vandaag voor $257K uitgebuit. hier is wat er daadwerkelijk is gebeurd: de dLEND pool (een Aave v3 fork) had een afrondingsfout in de cbBTC aToken aandeelberekeningen. minten en verbranden gebruikten beide dezelfde half-omhoog afrondingsconversie. bij een hoge liquiditeitsindex konden opnames de stortingen overschrijden. de aanvaller leende flash, stortte ~$772 USDC ter waarde van ~$4.8M als onderpand, leende 257K dUSD, en doorliep vervolgens 127 storting/opname cycli via een helpercontract. elke cyclus haalde iets meer cbBTC eruit dan er werd ingelegd. netto winst na gas: ~$257K. de pool TVL was slechts ~$435K. op 5 maart heeft @HypurrFi publiekelijk een structurele afrondingskwetsbaarheid in Aave v3 versies vóór 3.5 bekendgemaakt met hetzelfde exploitpatroon. voorwaarden: hoge prijs per token, lage decimalen, lage gaskosten. cbBTC voldoet aan alle drie. dLEND is een Aave v3 fork. onduidelijk of ze een gepatchte versie draaiden, maar de exploit die overeenkomt met een bekende kwetsbaarheid van 12 dagen eerder roept vragen op.