Протокол стекінгу Ethereum Lido Finance запевнив, що токени Lido DAO (LDO) і токени staked-Ether (stETH) залишаються в безпеці, незважаючи на те, що хакери нібито використовують відомий недолік безпеки в контракті токенів LDO.
Lido не підтвердила жодних експлойтів, але визнала, що недолік безпеки був відомий, і запевнила, що кошти LDO та stETH залишаються в безпеці у відповідь на публікацію фірми безпеки блокчейну SlowMist від 10 вересня.
SlowMist сказав, що дефектний контракт LDO на токени дозволяє зловмисникам сприяти атакам на біржі «фальшивих депозитів», оскільки контракт на токени LDO дозволяє користувачам виконувати транзакції, навіть якщо у них немає достатніх коштів. За даними SlowMist, цей код відрізняється від стандарту токенів Ethereum Request for Comment 20 (ERC-20).
Однак Lido Finance стверджує, що недолік вбудований у всі токени ERC-20, а не лише в токен LDO Lido:
This behaviour is expected and conforms to the ERC20 token standard (see tweet below). Both LDO and stETH (and Lido governance) remain safe.
Lido token integration guides will be updated with LDO specifics to make this more visible shortly.
— Lido (@LidoFinance) September 10, 2023
SlowMist сказав, що атаки на «підроблені депозити» походять від контракту LDO на токени, які виконують перекази, де вартість перевищує те, що насправді належить користувачу, викликаючи помилкове повернення, а не повернення транзакції. Хоча фірма заявила, що контракт на токени Lido нещодавно був використаний за допомогою цієї атаки, жодних доказів у ланцюжку не було надано.
Cointelegraph звернувся до SlowMist за коментарем, але не отримав негайної відповіді.
Тим часом мережевий аналітик «Hercules» пояснив 10 вересня, що помилку безпеки можуть не виявити біржі криптовалют.
SlowMist рекомендує власникам LDO також перевіряти повернення вартості передачі контракту токенів на додаток до успіху чи невдачі транзакції.
Фірма безпеки блокчейну дійшла висновку, що реалізація контрактів на токени та їх поведінка відрізняються залежно від проекту, і перед інтеграцією будь-яких нових токенів необхідно провести комплексне тестування.
За темою: служби стекінгу Ethereum погоджуються на 22% обмеження всіх валідаторів
Однак Lido підкреслив в офіційному документі щодо вдосконалення Ethereum — співавтором якого є Віталік Бутерін у листопаді 2015 року — що обидві функції «transfer» і «transferFrom» повинні повертати статус передачі, і вони рекомендовані для повернення транзакції лише у виняткових випадках.
ERC20 token standard: https://t.co/YlrS1ZN6Fd
1) Both transfer and transferFrom are required to return transfer status and are only recommended to revert a tx in exceptional cases.
2) The standard says that a caller is obliged to check the return status (see 'Token methods'). pic.twitter.com/6KTcIyxo2F
— Lido (@LidoFinance) September 10, 2023
Щоб усунути недолік безпеки, Lido підтвердила, що незабаром буде оновлено посібники з інтеграції токенів LDO.
