Warum ist permissionless DeFi ein zweischneidiges Schwert? dTRINITY wurde heute um 257.000 $ ausgenutzt. Hier ist, was tatsächlich passiert ist: das dLEND-Pool (ein Aave v3 Fork) hatte einen Rundungsfehler in der cbBTC aToken-Anteilsmathematik. Mint und Burn verwendeten beide die gleiche Aufrundungsumwandlung. Bei einem hohen Liquiditätsindex konnten Abhebungen die Einzahlungen übersteigen. Der Angreifer nahm einen Flash-Kredit auf, zahlte etwa 772 USDC ein, die als etwa 4,8 Millionen $ Sicherheiten bewertet wurden, lieh sich 257.000 dUSD und durchlief dann 127 Einzahlungs-/Abhebungszyklen über einen Hilfskontrakt. Jeder Zyklus entnahm ein wenig mehr cbBTC, als eingezahlt wurde. Netto Gewinn nach Gas: etwa 257.000 $. Das TVL des Pools betrug nur etwa 435.000 $. Am 5. März gab @HypurrFi öffentlich eine strukturelle Rundungsanfälligkeit in Aave v3-Versionen vor 3.5 bekannt, die das gleiche Exploit-Muster aufwies. Bedingungen: hoher Preis pro Token, niedrige Dezimalstellen, niedrige Gasgebühren. cbBTC erfüllt alle drei. dLEND ist ein Aave v3 Fork. Unklar ist, ob sie eine gepatchte Version betrieben, aber das Exploit, das mit einer bekannten Verwundbarkeit von vor 12 Tagen übereinstimmt, wirft Fragen auf.