Lido afferma che i token LDO e stETH rimangono al sicuro nonostante gli attacchi di "depositi falsi".

La società di sicurezza blockchain SlowMist ha identificato un problema operativo nel contratto del token LDO che sarebbe stato sfruttato da soggetti malintenzionati.

Protocollo di staking di Ethereum Lido Finance sostiene che un apparente difetto nella logica del suo contratto token non è motivo di preoccupazione.

In un post su X del 10 settembre, la società di sicurezza blockchain SlowMist ha affermato di aver identificato un problema operativo con il contratto LDO Token, che secondo lui è stato recentemente sfruttato da malintenzionati per attacchi di "falsi depositi" sugli exchange.

2. Tieni presente che sul mercato sono presenti molti contratti token che non aderiscono allo standard ERC20. Prima di integrare nuovi token, assicurati una profonda comprensione e analisi del loro codice contrattuale per garantire la corretta logica di deposito.

- SlowMist (@SlowMist_Team) 10 settembre 2023

"In particolare, quando il contratto del token LDO esegue un'operazione di trasferimento con una quantità superiore alle disponibilità effettive dell'utente, non attiva il consueto rollback della transazione. Invece, restituisce semplicemente “falso” come risultato invece di indicare un fallimento”, ha scritto SlowMist su X.

Il contratto difettoso consente presumibilmente a un attore malintenzionato di porre fine a un exchange con più token LDO di quelli effettivamente detenuti, una discrepanza che potrebbe essere trascurata da molti exchange.

Lido ha risposto alle affermazioni di SlowMist, affermando che il comportamento del contratto non era niente di straordinario ed era conforme allo standard dei token ERC-20. La piattaforma di staking ha assicurato agli utenti che sia l'LDO che l'ETH in staking (stETH) sono rimasti al sicuro.

Questo comportamento è previsto ed è conforme allo standard dei token ERC20 (vedi tweet sotto). Sia LDO che stETH (e la governance del Lido) rimangono al sicuro.

Le guide all'integrazione dei token Lido verranno aggiornate con le specifiche LDO per renderle più visibili a breve.

— Lido (@LidoFinanza) 10 settembre 2023

In genere, lo standard dei token ERC-20 richiede l'inversione della funzione di trasferimento se il mittente non dispone di fondi sufficienti. Anche se sembrerebbe che il contratto di Lido si discosti da questo standard, Lido sostiene che le funzioni di trasferimento sono necessarie per restituire lo stato di trasferimento e annullare le transazioni in casi eccezionali. 

Tuttavia, un utente X ha sottolineato che la documentazione EIP a cui fa riferimento Lido stabilisce che il trasferimento dovrebbe essere annullato se l'importo del trasferimento supera il saldo dell'utente.

sì, ma controlla i requisiti di seguito quando l'importo del trasferimento supera il saldo dell'utente. pic.twitter.com/JZTx7o8ucy

— 0xluckhu (@HUFAYU1985) 11 settembre 2023

“Lo sfruttamento di questa falla di sicurezza solleva questioni più ampie sull’affidabilità dei contratti token e sull’aderenza agli standard del settore. Con la crescente complessità dei contratti token, il rischio di vulnerabilità simili è sostanziale", ha affermato un altro utente su X.