💬 Лидо заверяет LDO, что токены stETH остаются в безопасности, несмотря на недостатки в контракте токена

Лидо заверяет LDO, что токены stETH остаются в безопасности, несмотря на недостатки в контракте токена

Протокол ставок Ethereum Lido Finance заверил, что токены Lido DAO (LDO) и стейкинг-эфира (stETH) остаются в безопасности, несмотря на то, что хакеры предположительно воспользовались известной уязвимостью безопасности в контракте токенов LDO.

Лидо не подтвердил никаких эксплойтов, но признал, что уязвимость безопасности известна, и заверил, что средства LDO и stETH остаются в безопасности в ответ на сообщение от 10 сентября компании SlowMist, занимающейся безопасностью блокчейнов.

В SlowMist заявили, что дефектный контракт токенов LDO позволяет злоумышленникам способствовать атакам «поддельных депозитов» на биржи, поскольку контракт токенов LDO позволяет пользователям выполнять транзакции даже там, где у них недостаточно средств. По данным SlowMist, этот код отличается от стандарта токена Ethereum Request for Comment 20 (ERC-20).

Однако Lido Finance утверждает, что этот недостаток встроен во все токены ERC-20, а не только в токен LDO Lido:

Такое поведение ожидаемо и соответствует стандарту токена ERC20 (см. твит ниже). И LDO, и stETH (и управление Lido) остаются в безопасности. Руководства по интеграции токенов Lido будут обновлены с учетом особенностей LDO, чтобы сделать это более заметным в ближайшее время. – Лидо (@LidoFinance) 10 сентября 2023 г.

Такое поведение ожидаемо и соответствует стандарту токена ERC20 (см. твит ниже). И LDO, и stETH (и управление Lido) остаются в безопасности. Руководства по интеграции токенов Lido будут обновлены с учетом особенностей LDO, чтобы сделать это более заметным в ближайшее время.

В SlowMist заявили, что атаки «поддельного депозита» произошли из-за контракта токенов LDO, выполняющего переводы, стоимость которых превышает то, чем на самом деле владеет пользователь, что приводит к ложному возврату, а не к отмене транзакции. Хотя фирма заявила, что контракт токенов Lido недавно был использован в ходе этой атаки, никаких доказательств в цепочке предоставлено не было.

Коинтелеграф обратился к SlowMist за комментариями, но не получил немедленного ответа.

Между тем, 10 сентября он-чейн-аналитик «Геркулес» объяснил, что биржи криптовалют могут не обнаружить уязвимость в безопасности.

SlowMist рекомендует держателям LDO также проверять возвращаемые значения переводов контрактов токенов в дополнение к успеху или неудаче транзакции.

Фирма, занимающаяся безопасностью блокчейнов, пришла к выводу, что реализация и поведение контрактов токенов различаются в зависимости от проекта, и необходимо провести всестороннее тестирование перед интеграцией каких-либо новых токенов.

Однако в официальном документе «Предложение по улучшению Ethereum», соавтором которого выступил Виталик Бутерин в ноябре 2015 года, Лидо подчеркнул, что функции «transfer» и «transferFrom» должны возвращать статус перевода и рекомендуются для отмены транзакции только в исключительных случаях.

Стандарт токена ERC20: https://t.co/YlrS1ZN6Fd1) И Transfer, и TransferFrom необходимы для возврата статуса перевода и рекомендуются для возврата транзакции только в исключительных случаях. 2) Стандарт гласит, что вызывающая сторона обязана проверить возврат статус (см. «Методы токена»). pic.twitter.com/6KTcIyxo2F – Лидо (@LidoFinance) 10 сентября 2023 г.

Стандарт токена ERC20: https://t.co/YlrS1ZN6Fd1) И Transfer, и TransferFrom необходимы для возврата статуса перевода и рекомендуются для возврата транзакции только в исключительных случаях. 2) Стандарт гласит, что вызывающая сторона обязана проверить возврат статус (см. «Методы токена»). pic.twitter.com/6KTcIyxo2F

Чтобы устранить проблему безопасности, Лидо подтвердил, что руководства по интеграции токенов LDO скоро будут обновлены.