Varför tillståndslös DeFi är ett tveeggat svärd? dTRINITY utnyttjades för 257 000 dollar idag. Här är vad som faktiskt hände: deras dLEND pool (en Aave v3-fork) hade en avrundningsbrist i cbBTC aToken-delningsmatematiken. Mint och Burn använde båda samma halvupprundningskonvertering. Vid ett högt likviditetsindex kan uttag överstiga insättningarna. angriparen lånade ut ett snabblån, satte in ~772 USD värdefullt som ~4,8 miljoner dollar i säkerhet, lånade 257 000 dUSD och gick sedan igenom 127 insättnings-/uttagscykler genom ett hjälpkontrakt. varje cykel extraherade lite mer cbBTC än vad som lades in. nettovinst efter gas: ~257 000 dollar. Poolen TVL var endast ~435 000 dollar. den 5 mars offentliggjorde @HypurrFi en strukturell avrundningssårbarhet i Aave v3-versioner före 3.5 med samma exploitmönster. Villkor: Högt tokenpris per enhet, låga decimaler, låga gasavgifter. cbBTC kontrollerar alla tre. dLEND är en Aave v3-gaffel. oklart om de körde en patchad version, men att exploiten matchar en känd sårbarhet från 12 dagar tidigare väcker frågor.