De ce DeFi fără permisiune este o sabie cu două tăișuri? dTRINITY a fost exploatată pentru 257.000$ astăzi. Iată ce s-a întâmplat de fapt: pool-ul lor dLEND (un fork Aave v3) avea o eroare de rotunjire în matematica acțiunii cbBTC aToken. Mint și Burn foloseau ambele aceeași conversie de rotunjire la jumătate de sus. La un indice de lichiditate ridicat, retragerile ar putea depăși depozitele. atacatorul a împrumutat rapid, a depus ~772 USDC evaluați ca ~4,8 milioane de dolari colateral, a împrumutat 257.000 dUSD, apoi a efectuat 127 de cicluri de depozit/retragere printr-un contract de ajutor. fiecare ciclu a extras puțin mai mult cbBTC decât a fost introdus. profit net după benzină: ~257.000 $. TVL-ul fondului a fost doar ~435.000 dolari. pe 5 martie, @HypurrFi a făcut public o vulnerabilitate de rotunjire structurală în versiunile Aave v3 anterioare 3.5, cu același tipar de exploatare. Condiții: Preț mare pe unitate de token, zecimale mici, taxe de gaz mici. cbBTC verifică toate trei. dLEND este un fork Aave v3. Nu este clar dacă rulau o versiune patch-uită, dar exploit-ul care corespunde unei vulnerabilități cunoscute de acum 12 zile ridică întrebări.