Lido säger att LDO, stETH-tokens förblir säkra trots "Fake Deposit"-attacker

Blockchain-säkerhetsföretaget SlowMist identifierade ett operativt problem i LDO Token-kontraktet som påstås ha utnyttjats av illvilliga aktörer.

Ethereums insatsprotokoll Lido Finance hävdar att ett uppenbart fel i logiken i dess tokenkontrakt inte är en anledning till oro.

I ett X-inlägg den 10 september sa blockchain-säkerhetsföretaget SlowMist att det hade identifierat ett operativt problem med LDO Token-kontraktet, som det hävdar nyligen har utnyttjats av illvilliga aktörer för "falska insättningar"-attacker på börser.

2. Var medveten om att det finns många symboliska kontrakt på marknaden som inte följer ERC20-standarden. Innan du integrerar nya tokens, säkerställ en djup förståelse och analys av deras kontraktskod för att säkerställa korrekt insättningslogik.

- SlowMist (@SlowMist_Team) September 10, 2023

När LDO-tokenkontraktet utför en överföringsoperation med en kvantitet som överstiger användarens faktiska innehav, utlöser det inte den vanliga transaktionsåterställningen. Istället returnerar det bara "falskt" som resultatet snarare än att indikera ett misslyckande, skrev SlowMist på X.

Det felaktiga kontraktet antas göra det möjligt för en illvillig aktör att avsluta fler LDO-tokens till ett utbyte än vad de faktiskt har - en diskrepans som kan förbises av många utbyten.

Lido svarade på SlowMists påståenden och sa att kontraktets beteende inte var något utöver det vanliga och att det överensstämmer med ERC-20-tokenstandarden. Insatsplattformen försäkrade användarna att både LDO och insatt ETH (stETH) förblev säkra.

Detta beteende förväntas och överensstämmer med ERC20-tokenstandarden (se tweet nedan). Både LDO och stETH (och Lido-styrning) förblir säkra.

Integrationsguider för Lido-token kommer att uppdateras med LDO-specifikationer för att göra detta mer synligt inom kort.

- Lido (@LidoFinance) September 10, 2023

Vanligtvis kräver ERC-20-tokenstandarden att överföringsfunktionen ska vändas om avsändaren saknar tillräckliga medel. Även om det verkar som att Lidos kontrakt avviker från denna standard, hävdar Lido att överföringsfunktioner krävs för att återställa överföringsstatus och återställa transaktioner i undantagsfall. 

En X-användare påpekade dock att EIP-dokumentationen som Lido hänvisade till föreskriver att överföringen ska återföras om överföringsbeloppet överstiger användarens saldo.

ja, men kontrollera nedanstående krav när överföringsbeloppet överstiger användarens saldo. pic.twitter.com/JZTx7o8ucy

— 0xluckhu (@HUFAYU1985) September 11, 2023

"Exploateringen av denna säkerhetsbrist väcker bredare frågor om tillförlitligheten hos token-kontrakt och efterlevnad av industristandarder. Med den växande komplexiteten av token-kontrakt är risken för liknande sårbarheter betydande”, sa en annan användare på X.