" Протокол стекинга Ethereum Lido Finance заверил, что токены Lido DAO (LDO) и staked-Ether (stETH) остаются в безопасности, несмотря на то, что хакеры предположительно воспользовались известной уязвимостью безопасности в контракте токенов LDO.
Lido не подтвердил никаких эксплойтов, но признал, что уязвимость безопасности известна, и заверил, что средства LDO и stETH остаются в безопасности в ответ на сообщение от 10 сентября компании SlowMist, занимающейся безопасностью блокчейнов.
В SlowMist заявили, что уязвимый контракт токенов LDO позволяет злоумышленникам устраивать атаки «поддельных депозитов» на биржи, поскольку контракт токенов LDO позволяет пользователям выполнять транзакции даже там, где у них недостаточно средств. По данным SlowMist, этот код отличается от стандарта токена Ethereum Request for Comment 20 (ERC-20).
Однако Lido Finance утверждает, что этот недостаток встроен во все токены ERC-20, а не только в токен LDO Lido:
«Такое поведение ожидаемо и соответствует стандарту токена ERC20 (см. твит ниже). И LDO, и stETH (и управление Lido) остаются в безопасности. Руководства по интеграции токенов Lido будут обновлены с учетом особенностей LDO, чтобы сделать это более заметным в ближайшее время», – говорится в сообщении (@LidoFinance) 10 сентября 2023 г.
В SlowMist заявили, что атаки «поддельного депозита» произошли из-за контракта токенов LDO, выполняющего переводы, стоимость которых превышает то, чем на самом деле владеет пользователь, что приводит к ложному возврату, а не к отмене транзакции. Хотя фирма заявила, что контракт токенов Lido недавно был использован в ходе этой атаки, никаких доказательств в сети предоставлено не было.
Между тем, 10 сентября он-чейн-аналитик «Геркулес» объяснил, что биржи криптовалют могут не обнаружить уязвимость в безопасности.
SlowMist рекомендует держателям LDO также проверять возвращаемые значения переводов контрактов токенов в дополнение к успеху или неудаче транзакции.
Фирма, занимающаяся безопасностью блокчейнов, пришла к выводу, что реализация и поведение контрактов токенов различаются в зависимости от проекта, и необходимо провести всестороннее тестирование перед интеграцией каких-либо новых токенов.
Однако в официальном документе «Предложение по улучшению Ethereum», соавтором которого выступил Виталик Бутерин в ноябре 2015 года, Lido подчеркнул, что функции «transfer» и «transferFrom» должны возвращать статус перевода и рекомендуются для отмены транзакции только в исключительных случаях.
«Стандарт токена ERC20 гласит:
1) И Transfer, и TransferFrom необходимы для возврата статуса перевода и рекомендуются для отмены транзакции только в исключительных случаях.
2) В стандарте сказано, что вызывающая сторона обязана проверить статус возврата (см. «Методы токена»)»
– поясняет Lido (@LidoFinance) 10 сентября 2023 г.
Чтобы устранить проблему безопасности, Lido подтвердил, что руководства по интеграции токенов LDO скоро будут обновлены.
