🚨 @VenusProtocol Desvio da Tampa de Suprimento via Transferência Direta ERC-20 Uma falha conhecida do V2 Composto permitia que um atacante inflasse a taxa de câmbio vTHE de 3,81× simplesmente transferindo tokens diretamente para o contrato vToken, contornando completamente o limite de fornecimento THE de 14,5M. 9 meses de preparação. 50 transações de ataque. 5 milhões de dólares extraídos. Aqui está o que aconteceu 👇

Causa Raiz getCashPrior() em VBep20.sol lê a taxa de câmbio de balanceOf(address(this)) O limite de oferta só é aplicado dentro da casa da moeda() Mas uma transferência ERC-20 bruta para o endereço vToken nunca chama o mint() Então: 1️⃣ O atacante transfere O contrato diretamente para vTHE 2️⃣ o saldo de() aumenta silenciosamente 3️⃣ A taxa de câmbio infla instantaneamente 4️⃣ O mesmo vTHE saldo agora reivindica 3,81× valor de garantia a mais 5️⃣ Emprestar BOQUE/BNB - trocar para O - transferir para VTHE - repetir 50 loops. 12,2M O - 53,2M O. 3,67× acima do limite de suprimentos.