Lido siger, at LDO, stETH-tokens forbliver sikre på trods af 'falske indskud'-angreb

Blockchain-sikkerhedsfirmaet SlowMist identificerede et operationelt problem i LDO Token-kontrakten, der angiveligt er blevet udnyttet af ondsindede aktører.

Ethereum-indsatsprotokol Lido Finance hævder, at en tilsyneladende fejl i logikken i dens token-kontrakt ikke giver anledning til bekymring.

I et X-indlæg den 10. september sagde blockchain-sikkerhedsfirmaet SlowMist, at det havde identificeret et operationelt problem med LDO Token-kontrakten, som det hævder for nylig er blevet udnyttet af ondsindede aktører til "falske depositum"-angreb på børser.

2. Vær opmærksom på, at der er mange token-kontrakter på markedet, som ikke overholder ERC20-standarden. Før du integrerer nye tokens, skal du sikre dig en dyb forståelse og analyse af deres kontraktkode for at sikre den korrekte indbetalingslogik.

- SlowMist (@SlowMist_Team) September 10, 2023

"Når LDO-tokenkontrakten udfører en overførselsoperation med en mængde, der overstiger brugerens faktiske beholdning, udløser den ikke den sædvanlige tilbagerulning af transaktioner. I stedet returnerer det blot "falsk" som resultatet snarere end at angive en fiasko, skrev SlowMist på X.

Den mangelfulde kontrakt tillader angiveligt en ondsindet aktør at afslutte flere LDO-tokens til en udveksling, end de faktisk har - en uoverensstemmelse, der kan overses af mange udvekslinger.

Lido reagerede på SlowMists påstande og sagde, at kontraktens adfærd ikke var noget ud over det sædvanlige, og at den er i overensstemmelse med ERC-20 token-standarden. Indsatsplatformen forsikrede brugerne om, at både LDO og satset ETH (stETH) forblev sikre.

Denne adfærd forventes og er i overensstemmelse med ERC20 token-standarden (se tweet nedenfor). Både LDO og stETH (og Lido-styring) forbliver sikre.

Lido token-integrationsvejledninger vil blive opdateret med LDO-specifikationer for at gøre dette mere synligt snart.

- Lido (@LidoFinance) September 10, 2023

Typisk kræver ERC-20 token-standarden, at overførselsfunktionen vendes, hvis afsenderen mangler tilstrækkelige midler. Selvom det ser ud til, at Lidos kontrakt afviger fra denne standard, hævder Lido, at overførselsfunktioner er påkrævet for at returnere overførselsstatus og tilbageføre transaktioner i ekstraordinære tilfælde. 

En X-bruger gjorde dog opmærksom på, at den EIP-dokumentation, som Lido henviste til, foreskriver, at overførslen skal tilbageføres, hvis overførselsbeløbet overstiger brugerens saldo.

ja, men tjek nedenstående krav, når overførselsbeløbet overstiger brugersaldoen. pic.twitter.com/JZTx7o8ucy

— 0xluckhu (@HUFAYU1985) September 11, 2023

"Udnyttelsen af ​​denne sikkerhedsfejl rejser bredere spørgsmål om pålideligheden af ​​token-kontrakter og overholdelse af industristandarder. Med den voksende kompleksitet af token-kontrakter er risikoen for lignende sårbarheder betydelig," sagde en anden bruger på X.