Lido уверяет, что токены LDO и stETH остаются безопасными, несмотря на недостаток в контракте токена

Lido assures that LDO and stETH tokens remain secure, despite the token contract's deficiency.

Протокол стейкинга Ethereum Lido Finance заверил, что как Lido DAO (LDO), так и токены staked-Ether (stETH) остаются в безопасности, несмотря на то, что хакеры якобы использовали известную уязвимость в токен-контракте LDO.

Lido не подтвердил никаких атак, но признал, что уязвимость была известна и заверил LDO и stETH, что их средства остаются в безопасности в ответ на сообщение от 10 сентября от компании по блокчейн-безопасности SlowMist.

SlowMist заявил, что дефектный токен-контракт LDO позволяет злоумышленникам проводить «фейковые депозиты» на биржах, так как токен-контракт LDO позволяет пользователям выполнять транзакции даже при отсутствии достаточных средств. По словам SlowMist, этот код отклоняется от стандарта ERC-20 (Ethereum Request for Comment 20).

Однако Lido Finance утверждает, что данная уязвимость присутствует во всех токенах ERC-20, а не только в токене LDO от Lido:

• ТВЛ Friend.tech превысил 20 млн. долларов США через несколько недель после объявления о его «смерти»
• Terra Classic рассматривает повышение депозита для сдерживания спама предложений
• 1 из 4 инвестиционных компаний назначают высокопоставленных руководителей на цифровые активы доклад

Такое поведение ожидаемо и соответствует стандарту ERC20 (см. ниже твит). Как LDO, так и stETH (а также управление Lido) остаются в безопасности. Инструкции по интеграции токенов Lido скоро будут обновлены с указанием особенностей LDO.

— Lido (@LidoFinance) 10 сентября 2023 года

SlowMist сообщил, что атаки «фейковых депозитов» происходят из токен-контракта LDO, который выполняет переводы с суммой, превышающей фактическую сумму у пользователя, вызывая ложный результат вместо отката транзакции. При этом компания не предоставила никаких доказательств атаки на токен-контракт Lido.

Команда Cointelegraph обратилась в компанию SlowMist с просьбой прокомментировать ситуацию, но пока не получила ответа.

Тем временем, аналитик “Hercules” объяснил 10 сентября, что уязвимость может не быть обнаружена криптовалютными биржами.

SlowMist рекомендует держателям LDO также проверить возвращаемые значения при переводах токен-контракта, помимо успешного или неуспешного завершения транзакции.

Компания по блокчейн-безопасности пришла к выводу, что реализация и поведение токен-контрактов различаются в зависимости от проекта, и рекомендует проводить всестороннее тестирование перед интеграцией новых токенов.

Связано: Сервисы стейкинга Ethereum согласились на ограничение в 22% от всех валидаторов

Однако Lido подчеркнул в официальном документе предложения по улучшению Ethereum, написанном Виталиком Бутериным в ноябре 2015 года, что функции “transfer” и “transferFrom” должны возвращать статус перевода и рекомендуется откатывать транзакцию только в исключительных случаях.

Стандарт ERC20: https://t.co/YlrS1ZN6Fd1) Функции transfer и transferFrom должны возвращать статус перевода и рекомендуется откатывать транзакцию только в исключительных случаях.2) Стандарт говорит, что вызывающая сторона обязана проверять статус возврата (см. “Методы токена”). pic.twitter.com/6KTcIyxo2F

— Lido (@LidoFinance) 10 сентября 2023 года

Для устранения уязвимости Lido подтвердил, что руководства по интеграции токена LDO будут скоро обновлены.

Журнал: DeFi Dad, Зал славы: Ethereum «грустно недооценен», но становится более мощным

We will continue to update BiLee; if you have any questions or suggestions, please contact us!