A Lido szerint az LDO, a stETH tokenek biztonságban maradnak a „hamis befizetés” támadások ellenére

A SlowMist blokklánc biztonsági cég működési problémát azonosított az LDO Token szerződésben, amelyet állítólag rosszindulatú szereplők használtak ki.

Az Ethereum staking protokollja, a Lido Finance azt állítja, hogy a jelképes szerződés logikájának nyilvánvaló hibája nem ad okot aggodalomra.

Szeptember 10-én egy X-bejegyzésben a SlowMist blokklánc-biztonsági cég azt mondta, hogy működési problémát azonosított az LDO Token szerződéssel kapcsolatban, amelyet állítása szerint a közelmúltban rosszindulatú szereplők használtak ki a tőzsdék elleni „hamis letéti” támadásokra.

2. Ügyeljen arra, hogy sok olyan token szerződés létezik a piacon, amelyek nem felelnek meg az ERC20 szabványnak. Az új tokenek integrálása előtt gondoskodjon a szerződéskódjuk mélyreható megértéséről és elemzéséről a helyes befizetési logika biztosítása érdekében.

- SlowMist (@SlowMist_Team) 10. szeptember 2023.

„Konkrétan, ha az LDO token szerződés olyan átviteli műveletet hajt végre, amelynek mennyisége meghaladja a felhasználó tényleges állományát, az nem váltja ki a szokásos tranzakció-visszavonást. Ehelyett csupán „hamis”-t ad vissza eredményként, nem pedig kudarcot jelez.” írt SlowMist az X-en.

A hibás szerződés állítólag lehetővé teszi egy rosszindulatú szereplő számára, hogy több LDO tokent küldjön egy cserére, mint amennyi valójában van – ez az eltérés, amelyet sok csere figyelmen kívül hagyhat.

A Lido a SlowMist állításaira reagálva azt mondta, hogy a szerződés viselkedése nem volt szokatlan, és megfelel az ERC-20 token szabványnak. A kockáztatott platform biztosította a felhasználókat arról, hogy mind az LDO, mind a kockázott ETH (stETH) biztonságban marad.

Ez a viselkedés várható, és megfelel az ERC20 token szabványnak (lásd az alábbi tweetet). Mind az LDO, mind a stETH (és a Lido irányítása) biztonságban marad.

A Lido token integrációs útmutatóit az LDO sajátosságaival frissítjük, hogy ez hamarosan láthatóbbá váljon.

- Lido (@LidoFinance) 10. szeptember 2023.

Az ERC-20 token szabvány általában az átviteli funkció megfordítását kéri, ha a küldőnek nincs elegendő pénze. Bár úgy tűnik, hogy a Lido szerződése eltér ettől a szabványtól, a Lido azt állítja, hogy az átviteli funkciók kötelesek visszaadni az átutalás állapotát és kivételes esetekben visszaállítani a tranzakciókat. 

Egy X felhasználó azonban felhívta a figyelmet arra, hogy az EIP-dokumentáció, amelyre a Lido hivatkozott, előírja, hogy az utalást vissza kell vonni, ha az átutalás összege meghaladja a felhasználó egyenlegét.

igen, de ellenőrizze az alábbi követelményt, ha az átutalás összege meghaladja a felhasználói egyenleget. pic.twitter.com/JZTx7o8ucy

— 0xluckhu (@HUFAYU1985) 11. szeptember 2023.

„E biztonsági hiba kihasználása szélesebb körű kérdéseket vet fel a token szerződések megbízhatóságával és az iparági szabványok betartásával kapcsolatban. A token-szerződések egyre összetettebbé válásával a hasonló sérülékenységek kockázata jelentős” – mondta egy másik felhasználó az X-en.