Det nylige @ResupplyFi-hacket viser hvordan en enkel heltallsdivisjon kan føre til katastrofal hvelvmanipulasjon. En utnyttelse på 9,56 millioner dollar utført i løpet av timer etter distribusjon. La oss bryte ned denne kritiske ERC4626 sårbarheten ↓

2/ Angrepsvektor: ERC4626 "første donasjon"-manipulasjon: • Tomt hvelv ved distribusjon • Angriperen setter inn 1 wei • Gir store eiendelsdonasjoner • Aksjekursen stiger astronomisk • Protokollens valutakursberegning bryter

3/ Sårbarheten i én linje: _exchangeRate = 1e36 / IOracle(_exchangeRateInfo.oracle).getPrices(adresse(sikkerhet)); Heltallsdivisjon uten avrundingsbeskyttelse → valutakurs runder av til null når orakelprisen er for stor.

4/ Utnyttelseskjeden: 1. Sett inn 1 wei i tomt hvelv 2. Doner for å blåse opp aksjekursen 3. Oracle rapporterer oppblåst pris 4. Valutakurs = 0 på grunn av deling 5. LTV-sjekk: 0 <= maxLTV (alltid sant!) 6. Ubegrenset lån ulåst

5/ Forebygging er enkelt: _exchangeRate = 1e36 / pris; require(_exchangeRate 0, "Ugyldig sats"); Også: • Håndheve minimumsinnskudd • Legg til aksjeforholdskontroller • Overvåk hvelvlikviditet

6/ Viktig lærdom: ERC4626 hvelv trenger ekstra beskyttelse ved distribusjon. Problemet med "første innskyter" er ikke nytt, men ResupplyFi viser hvordan det kan kaskade inn i en kritisk sårbarhet. Les hele den tekniske analysen på bloggen vår: