Lido 表示，尽管遭受“假存款”攻击，LDO、stETH 代币仍然安全

区块链安全公司 SlowMist 发现了 LDO 代币合约中的一个操作问题，据称该问题已被恶意行为者利用。

以太坊质押协议 Lido Finance 声称，其代币合约逻辑中的明显缺陷并不值得担忧。

在 10 月 XNUMX 日的 X 帖子中，区块链安全公司 SlowMist 表示，它已经发现了 LDO 代币合约的操作问题，并声称该合约最近被恶意行为者利用，对交易所进行“虚假存款”攻击。

2. 请注意，市场上有许多代币合约不符合ERC20标准。 在集成新代币之前，请确保深入理解和分析其合约代码，以确保正确的存款逻辑。

- 慢雾（@SlowMist_Team） 2023 年 9 月 10 日

“具体来说，当LDO代币合约执行超过用户实际持有数量的转账操作时，不会触发通常的交易回滚。 相反，它只是返回“false”作为结果，而不表示失败。” 写 X 上的慢雾。

据推测，存在缺陷的合约允许恶意行为者向交易所出售比其实际持有的更多的 LDO 代币——这一差异可能会被许多交易所忽视。

Lido回应了慢雾的说法，称该合约的行为没有什么异常，符合ERC-20代币标准。 该质押平台向用户保证 LDO 和质押的 ETH (stETH) 都是安全的。

此行为是预期行为，并且符合 ERC20 代币标准（请参阅下面的推文）。 LDO 和 stETH（以及 Lido 治理）仍然安全。

Lido 代币集成指南将根据 LDO 详细信息进行更新，以便很快变得更加明显。

— 丽都 (@LidoFinance) 2023 年 9 月 10 日

通常，如果发送者缺乏足够的资金，ERC-20 代币标准会要求反转转账功能。 尽管看起来 Lido 的合约偏离了这一标准，但 Lido 声称传输函数需要返回传输状态并在特殊情况下恢复交易。 

不过，一位X用户指出，Lido提到的EIP文档规定，如果转账金额超过用户余额，则转账应撤销。

可以，但是当转账金额超过用户余额时请检查以下要求。 pic.twitter.com/JZTx7o8ucy

— 0xluckhu (@HUFAYU1985) 2023 年 9 月 11 日

“利用这一安全漏洞引发了有关代币合约可靠性和行业标准遵守情况的更广泛问题。 随着代币合约的复杂性不断增加，类似漏洞的风险也很大。”X 上的另一位用户表示。