Lido каже, що токени LDO, stETH залишаються в безпеці, незважаючи на атаки «фейкових депозитів»

Фірма безпеки блокчейну SlowMist виявила операційну проблему в контракті LDO Token, яка нібито була використана зловмисниками.

Протокол стекінгу Ethereum Lido Finance стверджує, що очевидний недолік у логіці його контракту на токени не викликає занепокоєння.

У дописі X від 10 вересня фірма з безпеки блокчейнів SlowMist повідомила, що виявила операційну проблему з контрактом LDO Token, який, як вона стверджує, нещодавно використовувався зловмисниками для атак на «фейкові депозити» на біржах.

2. Майте на увазі, що на ринку є багато контрактів на токени, які не відповідають стандарту ERC20. Перш ніж інтегрувати нові токени, переконайтеся, що ви глибоко розумієте та аналізуєте їхній контрактний код, щоб забезпечити правильну логіку депозиту.

- SlowMist (@SlowMist_Team) Вересень 10, 2023

«Зокрема, коли контракт токенів LDO виконує операцію передачі з кількістю, що перевищує фактичні запаси користувача, це не запускає звичайний відкат транзакції. Замість цього він просто повертає «false» як результат, а не вказує на помилку», пише SlowMist на X.

Імовірно, недосконалий контракт дозволяє зловмиснику передати на біржу більше токенів LDO, ніж вони насправді мають – ця розбіжність може бути не помічена багатьма біржами.

Lido відповів на претензії SlowMist, сказавши, що поведінка контракту не є чимось незвичайним і він відповідає стандарту токенів ERC-20. Платформа стейкингу запевнила користувачів, що як LDO, так і ETH (stETH) залишаються в безпеці.

Така поведінка є очікуваною та відповідає стандарту токенів ERC20 (див. твіт нижче). І LDO, і stETH (і управління Lido) залишаються безпечними.

Посібники з інтеграції токенів Lido будуть оновлені з урахуванням особливостей LDO, щоб зробити це більш помітним незабаром.

- Лідо (@LidoFinance) Вересень 10, 2023

Як правило, стандарт маркера ERC-20 передбачає скасування функції передачі, якщо у відправника недостатньо коштів. Хоча здається, що контракт Lido відхиляється від цього стандарту, Lido стверджує, що функції передачі потрібні для повернення статусу передачі та повернення транзакцій у виняткових випадках. 

Однак один користувач X зазначив, що документація EIP, на яку посилався Lido, передбачає, що переказ має бути скасовано, якщо сума переказу перевищує баланс користувача.

так, але перевірте вимогу нижче, коли сума переказу перевищує баланс користувача. pic.twitter.com/JZTx7o8ucy

— 0xluckhu (@HUFAYU1985) Вересень 11, 2023

«Використання цього недоліку безпеки викликає ширші питання щодо надійності контрактів токенів і дотримання галузевих стандартів. Із зростаючою складністю контрактів токенів ризик подібних уразливостей є значним», — сказав інший користувач X.