Venus 借贷协议存在精度损失漏洞，或致资金风险

11 月 26 日，Dilation Effect 发现 Venus 借贷协议的 core pool 系列合约存在精度损失漏洞，当协议增加新抵押资产时，极容易让攻击者趁虚而入，抽干全部资金。具体来说，core pool 的 VToken 合约在 redeemUnderlying 函数中计算 redeemTokens 时存在除法精度损失问题。如果协议在链上增加新抵押资产，当 LTV 大于 0，且新资产池子是一个空池（totalSupply=0），当新资产是 mintable 时，就会被黑客攻击。这让所有 core pool 内的资金处于风险之中。Dilation Effect 建议 Venus 能全面修复此漏洞（覆盖涉及的全部链和全部 pool），可采取的方法包括在计算 redeemTokens 时除法结果向上取整（推荐），或模仿 Uniswap 使用 initial_deposit_amount 的设计，或直接删除 redeemUnderlying 接口等。

本文 原创，转载保留链接！网址：https://licai.bangqike.com/bixun/938616.html