Lido sanoo, että LDO, stETH-merkit pysyvät turvassa väärennetyistä talletuksista huolimatta

Blockchain-turvayritys SlowMist havaitsi LDO Token -sopimuksessa toiminnallisen ongelman, jota pahantahtoiset toimijat ovat väitetysti käyttäneet hyväkseen.

Ethereumin panosprotokolla Lido Finance väittää, että ilmeinen virhe sen token-sopimuksen logiikassa ei ole huolenaihe.

Syyskuun 10. päivänä julkaistussa X-viestissä lohkoketjun tietoturvayritys SlowMist kertoi tunnistaneensa toiminnallisen ongelman LDO Token -sopimuksessa, jota se väittää äskettäin käyttäneen pahantahtoiset toimijat "väärennösten" hyökkäyksiin pörsseihin.

2. Huomaa, että markkinoilla on monia token-sopimuksia, jotka eivät noudata ERC20-standardia. Ennen kuin integroit uusia tokeneita, varmista niiden sopimuskoodin syvällinen ymmärtäminen ja analysointi oikean talletuslogiikan varmistamiseksi.

- SlowMist (@SlowMist_Team) Syyskuu 10, 2023

"Erityisesti, kun LDO-tunnussopimus suorittaa siirtooperaation, jonka määrä ylittää käyttäjän todelliset omistukset, se ei käynnistä tavallista tapahtuman peruuttamista. Sen sijaan se vain palauttaa tuloksena "false" sen sijaan, että se ilmaisee epäonnistumisen." kirjoitti SlowMist X:llä.

Virheellisen sopimuksen väitetään antavan pahantahtoiselle toimijalle mahdollisuuden viedä vaihtoon enemmän LDO-tokeneita kuin niillä todellisuudessa on – ristiriita, joka saattaa jäädä monilta pörssiltä huomiotta.

Lido vastasi SlowMistin väitteisiin sanomalla, että sopimuksen käytös ei ollut epätavallista ja että se on ERC-20 token -standardin mukainen. Panostusalusta vakuutti käyttäjille, että sekä LDO että panostettu ETH (stETH) pysyivät turvassa.

Tämä käyttäytyminen on odotettua ja on ERC20-tunnusstandardin mukainen (katso twiitti alla). Sekä LDO että stETH (ja Lidon hallinto) pysyvät turvassa.

Lido-tokenin integrointioppaat päivitetään LDO-spesifikaatioilla, jotta tämä näkyy piakkoin.

- Lido (@LidoFinance) Syyskuu 10, 2023

Tyypillisesti ERC-20-tunnusstandardi vaatii siirtotoiminnon käänteistä, jos lähettäjällä ei ole riittävästi varoja. Vaikka näyttää siltä, ​​että Lidon sopimus poikkeaa tästä standardista, Lido väittää, että siirtotoiminnot ovat velvollisia palauttamaan siirron tilan ja palauttamaan tapahtumat poikkeustapauksissa. 

Yksi X-käyttäjä kuitenkin huomautti, että Lidon mainitsemassa EIP-dokumentaatiossa määrätään, että siirto tulee peruuttaa, jos siirtosumma ylittää käyttäjän saldon.

kyllä, mutta tarkista alla oleva vaatimus, kun siirtosumma ylittää käyttäjän saldon. pic.twitter.com/JZTx7o8ucy

— 0xluckhu (@HUFAYU1985) Syyskuu 11, 2023

"Tämän tietoturvavirheen hyödyntäminen herättää laajempia kysymyksiä token-sopimusten luotettavuudesta ja alan standardien noudattamisesta. Token-sopimusten monimutkaisuuden kasvaessa samanlaisten haavoittuvuuksien riski on huomattava", sanoi toinen X:n käyttäjä.