Blockchain-sikkerhetsfirmaet SlowMist identifiserte et driftsproblem i LDO Token-kontrakten som angivelig har blitt utnyttet av ondsinnede aktører.
Lagt ut 11. september 2023 kl. 5:15 EST.
Ethereum-innsatsprotokollen Lido Finance hevder at en tilsynelatende feil i logikken i token-kontrakten ikke er en grunn til bekymring.
I et X-innlegg 10. september sa blockchain-sikkerhetsfirmaet SlowMist at det hadde identifisert et operasjonelt problem med LDO Token-kontrakten, som den hevder nylig har blitt utnyttet av ondsinnede aktører for "falske innskudd"-angrep på børser.
2. Vær oppmerksom på at det er mange token-kontrakter i markedet som ikke overholder ERC20-standarden. Før du integrerer nye tokens, sørg for en dyp forståelse og analyse av kontraktkoden deres for å sikre riktig innskuddslogikk.
- SlowMist (@SlowMist_Team) September 10, 2023
"Når LDO-tokenkontrakten utfører en overføringsoperasjon med en mengde som overstiger brukerens faktiske beholdning, utløser den ikke den vanlige tilbakeføringen av transaksjoner. I stedet returnerer det bare "falsk" som utfall i stedet for å indikere en fiasko, skrev SlowMist på X.
Den mangelfulle kontrakten tillater visstnok en ondsinnet aktør å avslutte flere LDO-tokens til en utveksling enn de faktisk har – et avvik som kan bli oversett av mange utvekslinger.
Lido svarte på SlowMists påstander og sa at kontraktens oppførsel ikke var noe utenom det vanlige og at den samsvarer med ERC-20 token-standarden. Staking-plattformen forsikret brukerne om at både LDO og staked ETH (stETH) forble trygge.
Denne oppførselen er forventet og samsvarer med ERC20-tokenstandarden (se tweet nedenfor). Både LDO og stETH (og Lido-styring) forblir trygge.
Lido token-integrasjonsveiledninger vil bli oppdatert med LDO-spesifikasjoner for å gjøre dette mer synlig om kort tid.
- Lido (@LidoFinance) September 10, 2023
Vanligvis krever ERC-20-tokenstandarden at overføringsfunksjonen skal reverseres hvis avsenderen mangler tilstrekkelige midler. Selv om det ser ut til at Lidos kontrakt avviker fra denne standarden, hevder Lido at overføringsfunksjoner kreves for å returnere overføringsstatus og tilbakestille transaksjoner i unntakstilfeller.
En X-bruker påpekte imidlertid at EIP-dokumentasjonen som Lido viste til stiller krav om at overføringen skal reverseres dersom overføringsbeløpet overstiger brukerens saldo.
ja, men sjekk under kravet når overføringsbeløpet overstiger brukersaldoen. pic.twitter.com/JZTx7o8ucy
— 0xluckhu (@HUFAYU1985) September 11, 2023
"Utnyttelsen av denne sikkerhetsfeilen reiser bredere spørsmål om påliteligheten til token-kontrakter og overholdelse av industristandarder. Med den økende kompleksiteten til token-kontrakter, er risikoen for lignende sårbarheter betydelig," sa en annen bruker på X.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- ChartPrime. Hev handelsspillet ditt med ChartPrime. Tilgang her.
- BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
- kilde: https://unchainedcrypto.com/lido-says-ldo-steth-tokens-remain-safe-despite-fake-deposit-attacks/
- : har
- :er
- :ikke
- 10
- 11
- 15%
- 2023
- 31
- 32
- 33
- 500
- 7
- 80
- a
- Om oss
- aktører
- faktiske
- faktisk
- overholde
- angivelig
- tillater
- Selv
- am
- beløp
- an
- analyse
- og
- En annen
- tilsynelatende
- vises
- ER
- AS
- trygg
- At
- Angrep
- klar
- Balansere
- BE
- vært
- før du
- atferd
- under
- blockchain
- Blockchain sikkerhet
- både
- bredere
- men
- by
- Samtaler
- saker
- Årsak
- sjekk
- krav
- kode
- kompleksitet
- Bekymring
- kontrakt
- kontrakter
- korrigere
- dyp
- innskudd
- Til tross for
- avvik
- do
- dokumentasjon
- ikke
- EIP
- slutt
- sikre
- ERC-20
- ERC20
- ERC20-token
- ETH
- stiger
- stiger
- eksepsjonell
- utveksling
- Børser
- Utfører
- forventet
- utnytting
- Exploited
- Failure
- finansiere
- Firm
- feil
- feil
- Til
- fra
- funksjon
- funksjoner
- midler
- styresett
- Økende
- Guider
- HAD
- Høy
- hold
- Holdings
- HTTPS
- identifisert
- if
- in
- industri
- industristandarder
- i stedet
- Integrering
- integrering
- utstedelse
- IT
- DET ER
- JEG GJØR
- ldo token
- ldo tokens
- LIDO
- Lido Finans
- logikk
- gjøre
- mange
- marked
- max bredde
- Kan..
- bare
- mer
- Ny
- ingenting
- of
- on
- ONE
- drift
- operasjonell
- vanlig
- ut
- Utfallet
- bilde
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Post
- postet
- protokollen
- kvantitet
- spørsmål
- hever
- heller
- nylig
- referert
- pålitelighet
- forbli
- forble
- påkrevd
- behov
- retur
- avkastning
- tilbake
- Risiko
- trygge
- Sa
- sier
- sier
- sikkerhet
- sikkerhetsfeil
- se
- avsender
- sju
- September
- Om kort tid
- bør
- lignende
- Slow Mist
- detaljer
- staket
- Satt ETH
- staking
- Standard
- standarder
- status
- steth
- betydelig
- tilstrekkelig
- enn
- Det
- De
- deres
- Der.
- de
- denne
- til
- token
- tokens
- Transaksjonen
- Transaksjoner
- overføre
- utløse
- sant
- tweet
- forståelse
- Unsplash
- oppdatert
- Bruker
- Brukere
- synlig
- Sikkerhetsproblemer
- var
- når
- hvilken
- vil
- med
- ville
- X
- zephyrnet