Laut Lido bleiben stETH-Token von LDO trotz „Fake Deposit“-Angriffen sicher

Das Blockchain-Sicherheitsunternehmen SlowMist hat ein Betriebsproblem im LDO-Token-Vertrag identifiziert, das angeblich von böswilligen Akteuren ausgenutzt wurde.

Das Ethereum-Absteckprotokoll Lido Finance behauptet, dass ein offensichtlicher Fehler in der Logik seines Token-Vertrags keinen Anlass zur Sorge gebe.

In einem Beitrag auf

2. Beachten Sie, dass es viele Token-Verträge auf dem Markt gibt, die nicht dem ERC20-Standard entsprechen. Stellen Sie vor der Integration neuer Token sicher, dass Sie deren Vertragscode genau verstehen und analysieren, um die korrekte Einzahlungslogik sicherzustellen.

- SlowMist (@SlowMist_Team) 10. September 2023

„Insbesondere wenn der LDO-Token-Vertrag einen Übertragungsvorgang mit einer Menge ausführt, die den tatsächlichen Bestand des Benutzers übersteigt, löst er nicht den üblichen Transaktions-Rollback aus. Stattdessen wird lediglich „falsch“ als Ergebnis zurückgegeben, anstatt auf einen Fehler hinzuweisen.“ schrieb SlowMist auf X.

Der fehlerhafte Vertrag ermöglicht es einem böswilligen Akteur angeblich, mehr LDO-Tokens an eine Börse zu schicken, als er tatsächlich besitzt – eine Diskrepanz, die von vielen Börsen möglicherweise übersehen wird.

Lido antwortete auf die Behauptungen von SlowMist und sagte, dass das Verhalten des Vertrags nichts Außergewöhnliches sei und er dem ERC-20-Token-Standard entspreche. Die Absteckplattform versicherte den Benutzern, dass sowohl LDO als auch die abgesteckte ETH (stETH) sicher blieben.

Dieses Verhalten wird erwartet und entspricht dem ERC20-Token-Standard (siehe Tweet unten). Sowohl LDO als auch stETH (und die Lido-Governance) bleiben sicher.

Die Lido-Token-Integrationsleitfäden werden in Kürze mit LDO-Besonderheiten aktualisiert, um dies besser sichtbar zu machen.

— Lido (@LidoFinance) 10. September 2023

Typischerweise sieht der ERC-20-Token-Standard vor, dass die Übertragungsfunktion umgekehrt wird, wenn der Absender nicht über ausreichende Mittel verfügt. Obwohl es den Anschein hat, dass der Vertrag von Lido von diesem Standard abweicht, behauptet Lido, dass in Ausnahmefällen Übertragungsfunktionen erforderlich seien, um den Übertragungsstatus zurückzugeben und Transaktionen rückgängig zu machen. 

Ein X-Benutzer wies jedoch darauf hin, dass in der EIP-Dokumentation, auf die sich Lido bezog, festgelegt sei, dass die Überweisung rückgängig gemacht werden solle, wenn der Überweisungsbetrag das Guthaben des Benutzers übersteige.

Ja, aber überprüfen Sie die unten stehende Anforderung, wenn der Überweisungsbetrag das Benutzerguthaben übersteigt. pic.twitter.com/JZTx7o8ucy

— 0xluckhu (@HUFAYU1985) 11. September 2023

„Die Ausnutzung dieser Sicherheitslücke wirft umfassendere Fragen zur Zuverlässigkeit von Token-Verträgen und zur Einhaltung von Industriestandards auf. „Mit der wachsenden Komplexität von Token-Verträgen ist das Risiko ähnlicher Schwachstellen erheblich“, sagte ein anderer Benutzer auf X.