Lido pravi, da žetoni LDO, stETH ostajajo varni kljub napadom na lažne depozite

Varnostno podjetje za verigo blokov SlowMist je odkrilo operativno težavo v pogodbi o žetonu LDO, ki so jo domnevno izkoristili zlonamerni akterji.

Protokol stakinga Ethereum Lido Finance trdi, da očitna napaka v logiki njegove pogodbe o žetonih ni razlog za skrb.

V objavi X 10. septembra je varnostno podjetje za verigo blokov SlowMist povedalo, da je odkrilo operativno težavo s pogodbo o žetonu LDO, za katero trdi, da so jo zlonamerni akterji pred kratkim izrabili za napade »lažnih depozitov« na borze.

2. Zavedajte se, da je na trgu veliko žetonskih pogodb, ki niso v skladu s standardom ERC20. Pred integracijo novih žetonov zagotovite globoko razumevanje in analizo njihove pogodbene kode, da zagotovite pravilno logiko depozita.

- SlowMist (@SlowMist_Team) September 10, 2023

»Natančneje, ko pogodba o žetonu LDO izvede operacijo prenosa s količino, ki presega dejanska imetja uporabnika, to ne sproži običajnega povrnitve transakcije. Namesto tega le vrne »false« kot rezultat, namesto da nakaže napako,« Napisal SlowMist na X.

Napačna pogodba domnevno dovoljuje zlonamernemu akterju, da borzi dodeli več žetonov LDO, kot jih dejansko imajo – odstopanje, ki ga lahko številne borze spregledajo.

Lido se je odzval na trditve SlowMista in dejal, da vedenje pogodbe ni nič nenavadnega in je v skladu s standardom žetonov ERC-20. Platforma za staking je uporabnikom zagotovila, da sta LDO in staked ETH (stETH) ostala varna.

To vedenje je pričakovano in je v skladu s standardom žetonov ERC20 (glejte tweet spodaj). Tako LDO kot stETH (in upravljanje Lida) ostajata varna.

Vodniki za integracijo žetonov Lido bodo posodobljeni s posebnostmi LDO, da bo to kmalu vidnejše.

- Lido (@LidoFinance) September 10, 2023

Običajno standard žetona ERC-20 zahteva, da se funkcija prenosa obrne, če pošiljatelj nima dovolj sredstev. Čeprav se zdi, da Lidova pogodba odstopa od tega standarda, Lido trdi, da so funkcije prenosa potrebne za vrnitev statusa prenosa in razveljavitev transakcij v izjemnih primerih. 

Vendar je en uporabnik X poudaril, da dokumentacija EIP, na katero se je skliceval Lido, določa, da je treba prenos razveljaviti, če znesek prenosa preseže uporabnikovo stanje.

da, vendar preverite spodnjo zahtevo, ko znesek prenosa preseže stanje uporabnika. pic.twitter.com/JZTx7o8ucy

— 0xluckhu (@HUFAYU1985) September 11, 2023

»Izkoriščanje te varnostne napake odpira širša vprašanja o zanesljivosti žetonskih pogodb in upoštevanju industrijskih standardov. Z naraščajočo kompleksnostjo žetonskih pogodb je tveganje podobnih ranljivosti precejšnje,« je dejal drug uporabnik na X.