🚨 @VenusProtocol Обхід капчика постачання через пряму передачу ERC-20 Відомий недолік Compound V2 дозволяв зловмиснику завищити курс vTHE 3,81× просто передаючи токени безпосередньо на контракт vToken, повністю обійшовши ліміт пропозиції в 14,5 млн THE. 9 місяців підготовки. 50 транзакцій атак. Вилучено 5 мільйонів доларів. Ось що сталося 👇

Корінь причини getCashPrior() у VBep20.sol показує курс обміну з балансуOf(адреса(цього)) Обмеження запасу застосовується лише всередині mint() Але сирий ERC-20 transfer() на vToken адресу ніколи не викликає mint() Отже: 1️⃣ Зловмисник передає THE безпосередньо на vTHE контракт 2️⃣ баланс Of() безшумно збільшується 3️⃣ обмінний курс миттєво зростає 4️⃣ Той самий баланс vTHE тепер претендує на 3,81× більше вартості застави 5️⃣ Позичити CAKE/BNB - обмін на THE - перевести на vTHE - повторити 50 петель. 12,2 М ДО - 53,2 М. 3,67× понад ліміт подачі.