Lido déclare que les jetons LDO et stETH restent en sécurité malgré les attaques de « faux dépôts »

La société de sécurité Blockchain SlowMist a identifié un problème opérationnel dans le contrat LDO Token qui aurait été exploité par des acteurs malveillants.

Le protocole de jalonnement Ethereum, Lido Finance, affirme qu'un défaut apparent dans la logique de son contrat de jeton n'est pas préoccupant.

Dans un article X du 10 septembre, la société de sécurité blockchain SlowMist a déclaré avoir identifié un problème opérationnel avec le contrat LDO Token, qui, selon elle, a été récemment exploité par des acteurs malveillants pour des attaques de « faux dépôts » sur les bourses.

2. Sachez qu'il existe de nombreux contrats symboliques sur le marché qui ne respectent pas la norme ERC20. Avant d'intégrer de nouveaux jetons, assurez-vous d'avoir une compréhension et une analyse approfondies de leur code de contrat pour garantir la bonne logique de dépôt.

- SlowMist (@SlowMist_Team) 10 septembre 2023

« Plus précisément, lorsque le contrat de jeton LDO exécute une opération de transfert avec une quantité dépassant les avoirs réels de l'utilisateur, il ne déclenche pas l'annulation habituelle de la transaction. Au lieu de cela, il renvoie simplement « faux » comme résultat plutôt que d’indiquer un échec. » écrit SlowMist sur X.

Le contrat défectueux est censé permettre à un acteur malveillant de mettre à la disposition d'un échange plus de jetons LDO qu'il n'en détient réellement – ​​un écart qui peut être négligé par de nombreux échanges.

Lido a répondu aux affirmations de SlowMist, affirmant que le comportement du contrat n'avait rien d'extraordinaire et qu'il était conforme à la norme de jeton ERC-20. La plate-forme de jalonnement a assuré aux utilisateurs que le LDO et l'ETH mis en jeu (stETH) restaient en sécurité.

Ce comportement est attendu et est conforme à la norme de jeton ERC20 (voir tweet ci-dessous). LDO et stETH (et la gouvernance du Lido) restent sûrs.

Les guides d'intégration des jetons Lido seront mis à jour avec les spécificités de LDO pour rendre cela plus visible prochainement.

- lido (@lidofinance) 10 septembre 2023

En règle générale, la norme de jeton ERC-20 exige que la fonction de transfert soit inversée si l'expéditeur ne dispose pas de fonds suffisants. Bien qu'il semble que le contrat du Lido s'écarte de cette norme, Lido affirme que les fonctions de transfert sont nécessaires pour renvoyer le statut de transfert et annuler les transactions dans des cas exceptionnels. 

Cependant, un utilisateur de X a souligné que la documentation EIP à laquelle Lido faisait référence stipule que le transfert doit être annulé si le montant du transfert dépasse le solde de l'utilisateur.

oui, mais vérifiez les exigences ci-dessous lorsque le montant du transfert dépasse le solde de l'utilisateur. pic.twitter.com/JZTx7o8ucy

– 0xluckhu (@HUFAYU1985) 11 septembre 2023

« L’exploitation de cette faille de sécurité soulève des questions plus larges sur la fiabilité des contrats symboliques et le respect des normes de l’industrie. Avec la complexité croissante des contrats de jetons, le risque de vulnérabilités similaires est substantiel », a déclaré un autre utilisateur de X.