Компания Lido Finance, работающая с Ethereum, заверила, что токены Lido DAO (LDO) и Staked-Ether (stETH) остаются в безопасности, несмотря на то, что хакеры якобы воспользовались известной брешью в контракте токенов LDO.
Компания Lido не подтвердила наличие эксплойтов, но признала, что дефект в системе безопасности известен, и заверила, что средства LDO и stETH остаются в безопасности в ответ на сообщение компании SlowMist, специализирующейся на безопасности блокчейна, от 10 сентября.
По мнению SlowMist, несовершенный контракт токена LDO позволяет злоумышленникам осуществлять атаки на биржи с использованием "поддельных депозитов", поскольку контракт токена LDO позволяет пользователям совершать транзакции даже при отсутствии у них достаточных средств. Этот код отклоняется от стандарта токенов Ethereum Request for Comment 20 (ERC-20), утверждает SlowMist.
Однако Lido Finance утверждает, что этот недостаток заложен во всех токенах ERC-20, а не только в токене Lido LDO:
Такое поведение ожидаемо и соответствует стандарту токенов ERC20 (см. твит ниже). И LDO, и stETH (и управление Lido) остаются в безопасности.
- Lido (@LidoFinance) 10 сентября 2023 г.
В ближайшее время руководства по интеграции токенов Lido будут обновлены с учетом специфики LDO, чтобы сделать это более наглядным.
По мнению SlowMist, атаки на "фальшивые депозиты" происходили из-за того, что токен-контракт LDO выполнял переводы, стоимость которых превышала реальную стоимость, принадлежащую пользователю, что приводило к ложному возврату средств, а не к возврату транзакции. Хотя компания заявила, что токен-контракт Lidos недавно эксплуатировался с помощью этой атаки, никаких доказательств на цепочке представлено не было.
Cointelegraph обратился к SlowMist за комментарием, но не получил немедленного ответа.
Между тем, как пояснил 10 сентября on-chain аналитик "Геркулес", недостаток безопасности может быть не замечен криптовалютными биржами.
SlowMist рекомендует держателям LDO помимо успешности или неуспешности транзакции проверять также возвращаемые значения переводов по токен-контракту.
Компания, занимающаяся вопросами безопасности блокчейна, пришла к выводу, что реализация и поведение контрактов с токенами варьируются в зависимости от проекта, и перед интеграцией новых токенов следует провести всестороннее тестирование.
Однако в официальном документе Ethereum Improvement Proposal, подготовленном Виталиком Бутериным в ноябре 2015 года, Лидо подчеркнул, что функции "transfer" и "transferFrom" должны возвращать статус передачи и рекомендуются для возврата транзакции только в исключительных случаях.
Стандарт токенов ERC20: https://t.co/YlrS1ZN6Fd
- Lido (@LidoFinance) 10 сентября 2023 г.
1) Как transfer, так и transferFrom должны возвращать статус передачи и рекомендуются для возврата tx только в исключительных случаях.
2) Стандарт гласит, что вызывающая сторона обязана проверять статус возврата (см. Токен-методы). pic.Twitter.com/6KTcIyxo2F
Для устранения недостатка безопасности компания Lido подтвердила, что в ближайшее время будут обновлены руководства по интеграции токенов LDO.
Журнал: DeFi Dad, Hall of Flame: Ethereum "сильно недооценен", но становится все более мощным
Источник