Почему безразрешительная DeFi является двусторонним мечом? dTRINITY был взломан на $257K сегодня. вот что на самом деле произошло: t их dLEND пул (форк Aave v3) имел ошибку округления в математике долей aToken cbBTC. как при создании, так и при сжигании использовалось одно и то же округление вверх. при высоком индексе ликвидности, выводы могли превышать депозиты. нападающий взял флеш-кредит, внес ~$772 USDC, оцененный как ~$4.8M залога, занял 257K dUSD, а затем провел 127 циклов депозитов/выводов через вспомогательный контракт. каждый цикл извлекал немного больше cbBTC, чем было внесено. чистая прибыль после газа: ~$257K. TVL пула составил всего ~$435K. 5 марта @HypurrFi публично раскрыл структурную уязвимость округления в версиях Aave v3 до 3.5 с тем же паттерном эксплуатации. условия: высокая цена токена за единицу, низкие десятичные знаки, низкие комиссии за газ. cbBTC соответствует всем трем. dLEND является форком Aave v3. неясно, использовали ли они исправленную версию, но совпадение уязвимости с известной уязвимостью, обнаруженной 12 дней назад, вызывает вопросы.