Lido twierdzi, że tokeny LDO i STETH pozostają bezpieczne pomimo ataków polegających na fałszywych depozytach

Firma SlowMist zajmująca się bezpieczeństwem Blockchain zidentyfikowała problem operacyjny w umowie LDO Token, który rzekomo został wykorzystany przez złośliwe podmioty.

Protokół stakowania Ethereum Lido Finance twierdzi, że pozorna wada w logice jego umowy tokenowej nie jest powodem do niepokoju.

W poście X z 10 września firma SlowMist zajmująca się bezpieczeństwem blockchain stwierdziła, że ​​zidentyfikowała problem operacyjny z umową LDO Token, która według niej została niedawno wykorzystana przez złośliwe podmioty do ataków na giełdy w ramach „fałszywych depozytów”.

2. Należy pamiętać, że na rynku istnieje wiele kontraktów tokenowych, które nie spełniają standardu ERC20. Przed integracją nowych tokenów należy dokładnie zrozumieć i przeanalizować kod kontraktu, aby zapewnić prawidłową logikę depozytu.

- SlowMist (@SlowMist_Team) 10 września 2023 r.

„W szczególności, gdy kontrakt na token LDO wykonuje operację transferu z ilością przekraczającą rzeczywiste zasoby użytkownika, nie powoduje to zwykłego wycofywania transakcji. Zamiast tego po prostu zwraca wynik „false”, zamiast wskazywać niepowodzenie.” napisał SlowMist na X.

Wadliwa umowa rzekomo umożliwia złośliwemu aktorowi zakończenie większej liczby tokenów LDO na giełdzie, niż faktycznie jest w nich przechowywanych – rozbieżność, która może zostać przeoczona przez wiele giełd.

Lido odpowiedziała na zarzuty SlowMist, twierdząc, że zachowanie kontraktu nie jest niczym niezwykłym i jest zgodne ze standardem tokena ERC-20. Platforma do stakowania zapewniała użytkowników, że zarówno LDO, jak i stakowane ETH (stETH) pozostają bezpieczne.

Takie zachowanie jest oczekiwane i zgodne ze standardem tokena ERC20 (patrz tweet poniżej). Zarówno LDO, jak i stETH (oraz zarządzanie Lido) pozostają bezpieczne.

Przewodniki integracji tokenów Lido zostaną wkrótce zaktualizowane o szczegóły LDO, aby było to bardziej widoczne.

— Lido (@LidoFinanse) 10 września 2023 r.

Zazwyczaj standard tokena ERC-20 wymaga odwrócenia funkcji transferu, jeśli nadawcy brakuje wystarczających środków. Choć mogłoby się wydawać, że umowa Lido odbiega od tego standardu, Lido twierdzi, że funkcje transferowe są wymagane w wyjątkowych przypadkach, aby zwrócić status przelewu i cofnąć transakcje. 

Jednakże jeden z użytkowników X zwrócił uwagę, że dokumentacja EIP, na którą powołuje się Lido, przewiduje, że przelew powinien zostać cofnięty, jeśli kwota przelewu przekroczy saldo użytkownika.

tak, ale sprawdź poniższe wymagania, gdy kwota przelewu przekracza saldo użytkownika. pic.twitter.com/JZTx7o8ucy

— 0xluckhu (@HUFAYU1985) 11 września 2023 r.

„Wykorzystanie tej luki w zabezpieczeniach rodzi szersze pytania dotyczące wiarygodności kontraktów tokenowych i zgodności ze standardami branżowymi. Wraz z rosnącą złożonością kontraktów tokenowych ryzyko wystąpienia podobnych luk jest znaczne” – powiedział inny użytkownik X.