Det senaste @ResupplyFi-hacket visar hur en enkel heltalsdivision kan leda till katastrofal valvmanipulation. En exploatering på 9,56 miljoner dollar som utfördes inom några timmar efter distributionen. Låt oss bryta ner denna kritiska ERC4626 sårbarhet ↓

2/ Attackvektor: ERC4626 manipulation av "första donationen": • Töm valvet vid driftsättning • Angripare deponerar 1 wei • Gör en stor donation av tillgångar • Aktiekursen blåses upp astronomiskt • Protokollets växelkursberäkning bryts

3/ Sårbarheten på en rad: _exchangeRate = 1e36 / IOracle(_exchangeRateInfo.oracle).getPrices(adress(säkerhet)); Heltalsdivision utan avrundningsskydd → växelkurs avrundar till noll när orakelpriset är för stort.

4/ Exploateringskedjan: 1. Sätt in 1 wei i ett tomt valv 2. Donera för att blåsa upp aktiekursen 3. Oracle rapporterar uppblåst pris 4. Växelkurs = 0 på grund av division 5. LTV-kontroll: 0 <= maxLTV (alltid sant!) 6. Obegränsat lån upplåst

5/ Förebyggande är enkelt: _exchangeRate = 1e36 / pris; require(_exchangeRate 0, "Ogiltig ränta"); Också: • Genomdriva minsta insättningar • Lägg till kontroller av aktieförhållanden • Övervaka valvets likviditet

6/ Nyckellektion: ERC4626 valv behöver extra skydd vid distribution. Problemet med "första insättaren" är inte nytt, men ResupplyFi visar hur det kan leda till en kritisk sårbarhet. Läs hela den tekniska analysen på vår blogg: