Dlaczego DeFi bez zezwolenia to podwójny miecz? dTRINITY zostało wykorzystane na kwotę 257 tys. dolarów dzisiaj. oto co się naprawdę wydarzyło: ich pula dLEND (fork Aave v3) miała błąd zaokrąglania w matematyce udziałów aToken cbBTC. zarówno mint, jak i burn używały tej samej konwersji zaokrąglania w górę. przy wysokim wskaźniku płynności, wypłaty mogły przekroczyć depozyty. napastnik wziął pożyczkę flash, wpłacił około 772 USDC wycenionych na około 4,8 mln dolarów jako zabezpieczenie, pożyczył 257 tys. dUSD, a następnie wykonał 127 cykli depozyt/wypłata przez kontrakt pomocniczy. każdy cykl wydobywał nieco więcej cbBTC niż zostało wpłacone. zysk netto po opłatach: około 257 tys. dolarów. całkowita wartość zablokowana w puli wynosiła tylko około 435 tys. dolarów. 5 marca @HypurrFi publicznie ujawniło strukturalną podatność na zaokrąglanie w wersjach Aave v3 przed 3.5 z tym samym wzorem eksploatacji. warunki: wysoka cena tokena za jednostkę, niska liczba miejsc po przecinku, niskie opłaty za gaz. cbBTC spełnia wszystkie trzy. dLEND to fork Aave v3. nie jest jasne, czy używali poprawionej wersji, ale eksploatacja odpowiadająca znanej podatności sprzed 12 dni rodzi pytania.