Протокол ставок Ethereum Lido Finance заверил, что токены Lido DAO (LDO) и стейкинг-эфира (stETH) остаются в безопасности, несмотря на то, что хакеры предположительно воспользовались известной уязвимостью безопасности в контракте токенов LDO.
Лидо не подтвердил никаких эксплойтов, но признал, что уязвимость безопасности известна, и заверил, что средства LDO и stETH остаются в безопасности в ответ на сообщение от 10 сентября компании SlowMist, занимающейся безопасностью блокчейн.
В SlowMist заявили, что дефектный контракт токена LDO позволяет злоумышленникам способствовать атакам «поддельных депозитов» на биржи, поскольку контракт токена LDO позволяет пользователям выполнять транзакции даже там, где у них недостаточно средств. По данным SlowMist, этот код отличается от стандарта токена Ethereum Request for Comment 20 (ERC-20).
Однако Lido Finance утверждает, что этот недостаток встроен во все токены ERC-20, а не только в токен LDO Lido:
This behaviour is expected and conforms to the ERC20 token standard (see tweet below). Both LDO and stETH (and Lido governance) remain safe.
Lido token integration guides will be updated with LDO specifics to make this more visible shortly.
— Lido (@LidoFinance) September 10, 2023
В SlowMist заявили, что атаки «поддельного депозита» произошли из-за контракта токенов LDO, выполняющего переводы, стоимость которых превышает то, чем на самом деле владеет пользователь, что приводит к ложному возврату, а не к отмене транзакции. Хотя фирма заявила, что контракт токенов Lido недавно был использован в ходе этой атаки, никаких доказательств в цепочке предоставлено не было.
Коинтелеграф обратился к SlowMist за комментариями, но не получил немедленного ответа.
Между тем, 10 сентября он-чейн-аналитик «Геркулес» объяснил, что биржи криптовалют могут не обнаружить уязвимость в безопасности.
SlowMist рекомендует держателям LDO также проверять возвращаемые значения переводов контрактов токенов в дополнение к успеху или неудаче транзакции.
Фирма, занимающаяся безопасностью блокчейн, пришла к выводу, что реализация и поведение контрактов токенов различаются в зависимости от проекта, и необходимо провести всестороннее тестирование перед интеграцией каких-либо новых токенов.
Связанный: Службы ставок Ethereum согласны с ограничением в 22% для всех валидаторов
Однако в официальном документе «Предложение по улучшению Ethereum», соавтором которого выступил Виталик Бутерин в ноябре 2015 года, Лидо подчеркнул, что функции «transfer» и «transferFrom» должны возвращать статус перевода и рекомендуются для отмены транзакции только в исключительных случаях.
ERC20 token standard: https://t.co/YlrS1ZN6Fd
1) Both transfer and transferFrom are required to return transfer status and are only recommended to revert a tx in exceptional cases.
2) The standard says that a caller is obliged to check the return status (see 'Token methods'). pic.twitter.com/6KTcIyxo2F
— Lido (@LidoFinance) September 10, 2023
Чтобы устранить проблему безопасности, Лидо подтвердил, что руководства по интеграции токенов LDO скоро будут обновлены.
