Proč je bezpovolené DeFi dvojsečná zbraň? dTRINITY byla dnes zneužita za 257 tisíc dolarů. Tady je, co se skutečně stalo: jejich dLEND pool (fork Aave v3) měl zaokrouhlovací chybu v cbBTC aToken share math. Mint i Burn používaly stejnou polovicovou zaokrouhlovací konverzi. Při vysokém indexu likvidity mohou výběry převýšit vklady. útočník si půjčil flash půjčku, vložil ~772 USD v hodnotě ~4,8 milionu dolarů jako zástavu, půjčil si 257 tisíc dUSD a poté provedl 127 cyklů vkladů/výběrů prostřednictvím pomocné smlouvy. každý cyklus extrahoval o něco více cbBTC, než bylo vloženo. čistý zisk po spotřebě paliva: ~$257K. poolová TVL byla pouze ~$435K. 5. března @HypurrFi veřejně zveřejnil strukturální zranitelnost zaokrouhlování ve verzích Aave v3 před verzí 3.5 se stejným vzorem exploitů. Podmínky: vysoká cena tokenu za jednotku, nízká desetinná čísla, nízké poplatky za plyn. cbBTC kontroluje všechny tři. dLEND je fork Aave v3. Není jasné, zda používali opravenou verzi, ale to, že exploit odpovídá známé zranitelnosti z doby před 12 dny, vyvolává otázky.