🚨 @VenusProtocol Doğrudan ERC-20 transferiyle Tedarik Kapağı Bypass Bilinen bir Bileşik V2 kusuru, saldırganın tokenları doğrudan vToken sözleşmesine aktararak vTHE döviz kuru 3.81'i şişirmesine ×izin verdi ve 14.5M THE arz sınırını tamamen atladı. 9 aylık hazırlık. 50 saldırı işlemi. 5 milyon dolar çıkarıldı. Olanlar 👇 şunlar

Kök Neden getCashPrior() VBep20.sol'da balanceOf(address(this)))'den döviz kuru okuyor Tedarik sınırı sadece mint() içinde uygulanır. Ancak ham bir ERC-20 transfer() vToken adresine asla mint() çağrısı yapmaz Yani: 1️⃣ Saldırgan doğrudan vTHE sözleşmesine aktarıyor 2️⃣ balanceOf() sessizce artıyor 3️⃣ Döviz kuru anında yükselir 4️⃣ Aynı vTHE bakiyesi şimdi 3.81× daha fazla teminat değerini iddia ediyor 5️⃣ THE CAKE/BNB ödünç al - THE ile takas - vTHE'ye transfer - tekrar et 50 döngü. 12.2M THE - 53.2M THE. 3,67× arz sınırının üzerine.