Протокол ставок Ethereum Lido Finance гарантирует, что токены Lido DAO (LDO) и Stake-Ether (stETH) остаются в безопасности, несмотря на то, что хакеры предположительно воспользовались известной уязвимостью безопасности в контракте токена LDO.
Лидо не сделал подтверждать никаких эксплойтов, но признал, что уязвимость безопасности была известна, и заверил, что средства LDO и stETH остаются в безопасности в ответ на сообщение от 10 сентября компании SlowMist, занимающейся безопасностью блокчейнов.
В SlowMist заявили, что дефектный контракт токена LDO позволяет злоумышленникам способствовать атакам на биржи с использованием «фальшивых депозитов», поскольку контракт токена LDO позволяет пользователям совершать сделки, даже если у них недостаточно средств. По данным SlowMist, этот код отличается от стандарта токена Ethereum Request for Comment 20 (ERC-20).
Однако Lido Finance утверждает, что ошибка заложена во всех токенах ERC-20, а не только в токене LDO Lido:
Такое поведение ожидаемо и соответствует стандарту токенов ERC20 (см. твит ниже). LDO и stETH (и управление Lido) остаются в безопасности.
Руководства по интеграции токенов Lido будут обновлены с учетом особенностей LDO, чтобы в ближайшее время это стало более заметным.
— Лидо (@LidoFinance) 10 сентября 2023 г.
В SlowMist заявили, что атаки «поддельного депозита» происходят из-за контракта токена LDO, выполняющего переводы на сумму, большую, чем на самом деле владеет пользователь, вызывая ложный возврат вместо отмены транзакции. Хотя компания заявила, что контракт токена Lido недавно был использован посредством этой атаки, никаких доказательств в цепочке предоставлено не было.
Коинтелеграф обратился к SlowMist за комментариями, но не получил немедленного ответа.
Тем временем ончейн-аналитик «Геркулес» объяснять 10 сентября нарушение безопасности может быть не обнаружено криптовалютными биржами.
SlowMist рекомендует владельцам LDO также проверять возвращаемые значения переводов контрактов токенов в дополнение к успеху или неудаче транзакции.
Компания по безопасности блокчейна пришел к выводу что реализация и поведение контрактов токенов различаются в зависимости от проекта, и необходимо провести всестороннее тестирование перед интеграцией новых токенов.
Однако в официальном документе «Предложение по расширению Ethereum», соавтором которого выступил Виталик Бутерин в ноябре 2015 года, Лидо отметил, что функции «transfer» и «transferFrom» должны возвращать статус перевода и рекомендуются только для отмены транзакции только в исключительные случаи.
Стандарт токена ERC20: https://t.co/YlrS1ZN6Fd
1) Transfer и TransferFrom необходимы для возврата статуса перевода и рекомендуются для отмены передачи только в исключительных случаях.
2) В стандарте сказано, что вызывающая сторона обязана проверить статус возврата (см. «Методы токена»). pic.twitter.com/6KTcIyxo2F
— Лидо (@LidoFinance) 10 сентября 2023 г.
Чтобы устранить нарушение безопасности, Лидо подтвержденный Руководства по интеграции токенов LDO будут обновлены в ближайшее время.
