Lido, LDO ve stETH Tokenlarının 'Sahte Mevduat' Saldırılarına Rağmen Güvende Kaldığını Söyledi

Blockchain güvenlik firması SlowMist, LDO Token sözleşmesinde kötü niyetli aktörler tarafından kullanıldığı iddia edilen operasyonel bir sorun tespit etti.

Ethereum staking protokolü Lido Finance, token sözleşmesinin mantığındaki bariz bir kusurun endişe kaynağı olmadığını iddia ediyor.

Blockchain güvenlik firması SlowMist, 10 Eylül'deki bir X gönderisinde, LDO Token sözleşmesinde operasyonel bir sorun tespit ettiğini ve bunun yakın zamanda kötü niyetli aktörler tarafından borsalara "sahte para yatırma" saldırıları için kullanıldığını iddia ettiğini söyledi.

2. Piyasada ERC20 standardına uymayan birçok token sözleşmesi bulunduğunu unutmayın. Yeni tokenleri entegre etmeden önce, doğru para yatırma mantığını sağlamak için sözleşme kodlarının derinlemesine anlaşıldığından ve analiz edildiğinden emin olun.

—SlowMist (@SlowMist_Team) Eylül 10, 2023

“Özellikle, LDO token sözleşmesi, kullanıcının fiili varlıklarını aşan miktarda bir transfer işlemi yürüttüğünde, olağan işlem geri alma işlemini tetiklemiyor. Bunun yerine, bir başarısızlığı belirtmek yerine sonuç olarak yalnızca "yanlış" değerini döndürür," yazdı SlowMist X'te.

Kusurlu sözleşmenin, kötü niyetli bir aktörün, bir borsada gerçekte sahip olduğundan daha fazla LDO tokenini sonlandırmasına izin verdiği düşünülüyor; bu, birçok borsa tarafından gözden kaçabilecek bir tutarsızlık.

Lido, SlowMist'in iddialarına, sözleşmenin davranışının sıra dışı bir şey olmadığını ve ERC-20 token standardına uygun olduğunu söyleyerek yanıt verdi. Staking platformu, kullanıcılara hem LDO'nun hem de stake edilen ETH'nin (stETH) güvende kaldığına dair güvence verdi.

Bu davranış beklenen bir davranıştır ve ERC20 token standardına uygundur (aşağıdaki tweet'e bakın). Hem LDO hem de stETH (ve Lido yönetişimi) güvende kalır.

Lido token entegrasyon kılavuzları, bunu kısa süre içinde daha görünür hale getirmek için LDO ayrıntılarıyla güncellenecektir.

— Lido (@LidoFinance) Eylül 10, 2023

Tipik olarak ERC-20 token standardı, gönderenin yeterli fona sahip olmaması durumunda transfer fonksiyonunun tersine çevrilmesini gerektirir. Lido'nun sözleşmesi bu standarttan sapıyor gibi görünse de Lido, istisnai durumlarda transfer durumunu geri döndürmek ve işlemleri geri almak için transfer fonksiyonlarının gerekli olduğunu iddia ediyor. 

Ancak bir X kullanıcısı, Lido'nun atıfta bulunduğu EIP belgelerinin, transfer tutarının kullanıcının bakiyesini aşması durumunda transferin geri alınması gerektiğini şart koştuğunu belirtti.

evet, ancak transfer tutarı kullanıcı bakiyesini aştığında aşağıdaki gereksinimi kontrol edin. pic.twitter.com/JZTx7o8ucy

— 0xluckhu (@HUFAYU1985) Eylül 11, 2023

“Bu güvenlik açığının istismar edilmesi, token sözleşmelerinin güvenilirliği ve endüstri standartlarına bağlılık hakkında daha geniş soruları gündeme getiriyor. X'teki başka bir kullanıcı, "Token sözleşmelerinin artan karmaşıklığıyla birlikte benzer güvenlik açıklarının ortaya çıkma riski de önemli" dedi.