Фірма безпеки блокчейну SlowMist виявила операційну проблему в контракті LDO Token, яка нібито була використана зловмисниками.
Опубліковано 11 вересня 2023 року о 5:15 за східним стандартним часом.
Протокол стекінгу Ethereum Lido Finance стверджує, що очевидний недолік у логіці його контракту на токени не викликає занепокоєння.
У дописі X від 10 вересня фірма з безпеки блокчейнів SlowMist повідомила, що виявила операційну проблему з контрактом LDO Token, який, як вона стверджує, нещодавно використовувався зловмисниками для атак на «фейкові депозити» на біржах.
2. Майте на увазі, що на ринку є багато контрактів на токени, які не відповідають стандарту ERC20. Перш ніж інтегрувати нові токени, переконайтеся, що ви глибоко розумієте та аналізуєте їхній контрактний код, щоб забезпечити правильну логіку депозиту.
- SlowMist (@SlowMist_Team) Вересень 10, 2023
«Зокрема, коли контракт токенів LDO виконує операцію передачі з кількістю, що перевищує фактичні запаси користувача, це не запускає звичайний відкат транзакції. Замість цього він просто повертає «false» як результат, а не вказує на помилку», пише SlowMist на X.
Імовірно, недосконалий контракт дозволяє зловмиснику передати на біржу більше токенів LDO, ніж вони насправді мають – ця розбіжність може бути не помічена багатьма біржами.
Lido відповів на претензії SlowMist, сказавши, що поведінка контракту не є чимось незвичайним і він відповідає стандарту токенів ERC-20. Платформа стейкингу запевнила користувачів, що як LDO, так і ETH (stETH) залишаються в безпеці.
Така поведінка є очікуваною та відповідає стандарту токенів ERC20 (див. твіт нижче). І LDO, і stETH (і управління Lido) залишаються безпечними.
Посібники з інтеграції токенів Lido будуть оновлені з урахуванням особливостей LDO, щоб зробити це більш помітним незабаром.
- Лідо (@LidoFinance) Вересень 10, 2023
Як правило, стандарт маркера ERC-20 передбачає скасування функції передачі, якщо у відправника недостатньо коштів. Хоча здається, що контракт Lido відхиляється від цього стандарту, Lido стверджує, що функції передачі потрібні для повернення статусу передачі та повернення транзакцій у виняткових випадках.
Однак один користувач X зазначив, що документація EIP, на яку посилався Lido, передбачає, що переказ має бути скасовано, якщо сума переказу перевищує баланс користувача.
так, але перевірте вимогу нижче, коли сума переказу перевищує баланс користувача. pic.twitter.com/JZTx7o8ucy
— 0xluckhu (@HUFAYU1985) Вересень 11, 2023
«Використання цього недоліку безпеки викликає ширші питання щодо надійності контрактів токенів і дотримання галузевих стандартів. Із зростаючою складністю контрактів токенів ризик подібних уразливостей є значним», — сказав інший користувач X.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- ChartPrime. Розвивайте свою торгову гру за допомогою ChartPrime. Доступ тут.
- BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
- джерело: https://unchainedcrypto.com/lido-says-ldo-steth-tokens-remain-safe-despite-fake-deposit-attacks/
- : має
- :є
- : ні
- 10
- 11
- 15%
- 2023
- 31
- 32
- 33
- 500
- 7
- 80
- a
- МЕНЮ
- актори
- фактичний
- насправді
- дотримуватися
- нібито
- дозволяє
- хоча
- am
- кількість
- an
- аналіз
- та
- Інший
- здається
- з'являтися
- ЕСТЬ
- AS
- гарантований
- At
- нападки
- знати
- Balance
- BE
- було
- перед тим
- поведінка
- нижче
- blockchain
- Захист блокчейну
- обидва
- ширше
- але
- by
- Виклики
- випадків
- Викликати
- перевірка
- претензій
- код
- складність
- Занепокоєння
- контракт
- контрактів
- виправити
- глибокий
- депозит
- Незважаючи на
- невідповідність
- do
- документація
- Ні
- EIP
- кінець
- забезпечувати
- ERC-20
- ERC20
- Токен ERC20
- ETH
- перевищує
- перевищує
- винятковий
- обмін
- Біржі
- Виконує
- очікуваний
- експлуатація
- експлуатований
- Провал
- фінансування
- Фірма
- недолік
- недоліки
- для
- від
- функція
- Функції
- засоби
- управління
- Зростання
- Гід
- було
- Високий
- тримати
- Авуари
- HTTPS
- ідентифікований
- if
- in
- промисловість
- галузеві стандарти
- замість
- Інтеграція
- інтеграція
- питання
- IT
- ЙОГО
- LDO
- маркер ldo
- маркери ldo
- ЛІДО
- Лідо Фінанс
- логіка
- зробити
- багато
- ринок
- макс-ширина
- Може..
- просто
- більше
- Нові
- нічого
- of
- on
- ONE
- операція
- оперативний
- звичайний
- з
- Результат
- фото
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- пошта
- розміщені
- протокол
- кількість
- питань
- піднімається
- швидше
- нещодавно
- називають
- надійність
- залишатися
- залишився
- вимагається
- вимога
- повертати
- Умови повернення
- повернути
- Risk
- сейф
- Зазначений
- приказка
- говорить
- безпеку
- недолік безпеки
- побачити
- відправника
- Сім
- Вересень
- Незабаром
- Повинен
- аналогічний
- Повільний туман
- специфіка
- Ставка
- Ставлений ETH
- Стейкінг
- standard
- стандартів
- Статус
- STETH
- істотний
- достатній
- ніж
- Що
- Команда
- їх
- Там.
- вони
- це
- до
- знак
- Жетони
- угода
- Transactions
- переклад
- викликати
- правда
- чірікать
- розуміння
- Unsplash
- оновлений
- користувач
- користувачі
- видимий
- Уразливості
- було
- коли
- який
- волі
- з
- б
- X
- зефірнет