Лидо заявляет, что токены LDO и stETH остаются в безопасности, несмотря на атаки «поддельных депозитов»

Компания SlowMist, занимающаяся безопасностью блокчейнов, выявила операционную проблему в контракте токена LDO, которая предположительно была использована злоумышленниками.

Протокол ставок Ethereum Lido Finance утверждает, что очевидный недостаток в логике контракта токена не является поводом для беспокойства.

В сообщении X от 10 сентября компания SlowMist, занимающаяся безопасностью блокчейнов, заявила, что выявила операционную проблему с контрактом LDO Token, который, по ее утверждению, недавно использовался злоумышленниками для атак «поддельных депозитов» на биржах.

2. Имейте в виду, что на рынке существует множество контрактов токенов, которые не соответствуют стандарту ERC20. Прежде чем интегрировать новые токены, убедитесь в глубоком понимании и анализе их контрактного кода, чтобы обеспечить правильную логику депозита.

- SlowMist (@SlowMist_Team) 10 сентября, 2023

«В частности, когда контракт токена LDO выполняет операцию передачи с количеством, превышающим фактические активы пользователя, это не вызывает обычный откат транзакции. Вместо этого он просто возвращает «false» в качестве результата, а не указывает на сбой». писал SlowMist на X.

Дефектный контракт предположительно позволяет злоумышленнику вывести на биржу больше токенов LDO, чем они на самом деле имеют – несоответствие, которое многие биржи могут игнорировать.

Лидо ответил на претензии SlowMist, заявив, что в поведении контракта нет ничего необычного и он соответствует стандарту токенов ERC-20. Платформа ставок заверила пользователей, что как LDO, так и поставленный ETH (stETH) остаются в безопасности.

Такое поведение ожидаемо и соответствует стандарту токена ERC20 (см. твит ниже). И LDO, и stETH (и управление Lido) остаются в безопасности.

Руководства по интеграции токенов Lido будут обновлены с учетом особенностей LDO, чтобы сделать это более заметным в ближайшее время.

- Лидо (@LidoFinance) 10 сентября, 2023

Обычно стандарт токена ERC-20 требует отмены функции перевода, если у отправителя недостаточно средств. Хотя может показаться, что контракт Лидо отклоняется от этого стандарта, Лидо утверждает, что функции перевода необходимы для возврата статуса перевода и отмены транзакций в исключительных случаях. 

Однако один пользователь X отметил, что документация EIP, на которую ссылался Лидо, предусматривает, что перевод должен быть отменен, если сумма перевода превышает баланс пользователя.

да, но проверьте ниже требование, когда сумма перевода превышает баланс пользователя. pic.twitter.com/JZTx7o8ucy

— 0xluckhu (@HUFAYU1985) 11 сентября, 2023

«Использование этого недостатка безопасности поднимает более широкие вопросы относительно надежности контрактов токенов и соблюдения отраслевых стандартов. С растущей сложностью контрактов токенов риск возникновения подобных уязвимостей становится существенным», — сказал другой пользователь X.