블록체인 보안 회사인 SlowMist는 악의적인 행위자가 악용한 것으로 알려진 LDO 토큰 계약의 운영 문제를 확인했습니다.
11년 2023월 5일 오전 15시 XNUMX분(EST)에 게시되었습니다.
이더리움 스테이킹 프로토콜인 Lido Finance는 토큰 계약 논리의 명백한 결함이 우려할 만한 원인이 아니라고 주장합니다.
블록체인 보안업체 슬로우미스트(SlowMist)는 10월 XNUMX일 X 게시물에서 최근 악의적인 행위자들이 거래소에 대한 '가짜 예금' 공격을 위해 LDO 토큰 계약을 악용했다고 주장하면서 LDO 토큰 계약의 운영 문제를 확인했다고 밝혔습니다.
2. 시장에는 ERC20 표준을 준수하지 않는 많은 토큰 계약이 있다는 점에 유의하십시오. 새로운 토큰을 통합하기 전에 계약 코드에 대한 깊은 이해와 분석을 통해 올바른 입금 논리를 보장하십시오.
— 슬로우미스트(@SlowMist_Team) 2023 년 9 월 10 일
“구체적으로 LDO 토큰 계약이 사용자의 실제 보유량을 초과하는 수량으로 전송 작업을 실행하는 경우 일반적인 거래 롤백이 실행되지 않습니다. 대신, 실패를 나타내기보다는 결과로 "false"를 반환할 뿐입니다." 쓴 X의 SlowMist.
결함이 있는 계약으로 인해 악의적인 행위자가 실제로 보유하고 있는 것보다 더 많은 LDO 토큰을 거래소에 제공할 수 있게 되는 것으로 추정됩니다. 이는 많은 거래소에서 간과할 수 있는 불일치입니다.
Lido는 SlowMist의 주장에 대해 계약의 동작이 평범하지 않으며 ERC-20 토큰 표준을 준수한다고 답했습니다. 스테이킹 플랫폼은 LDO와 스테이킹된 ETH(stETH)가 모두 안전하게 유지된다는 점을 사용자에게 보장했습니다.
이 동작은 예상된 것이며 ERC20 토큰 표준을 준수합니다(아래 트윗 참조). LDO와 stETH(및 Lido 거버넌스) 모두 안전하게 유지됩니다.
Lido 토큰 통합 가이드는 LDO 세부 사항으로 업데이트되어 이 내용이 곧 더욱 눈에 띄게 될 것입니다.
— 리도(@LidoFinance) 2023 년 9 월 10 일
일반적으로 ERC-20 토큰 표준은 보낸 사람에게 충분한 자금이 부족한 경우 전송 기능을 취소하도록 요구합니다. Lido의 계약이 이 표준에서 벗어난 것처럼 보이지만 Lido는 전송 상태를 반환하고 예외적인 경우 트랜잭션을 되돌리려면 전송 기능이 필요하다고 주장합니다.
그러나 한 X 사용자는 Lido가 참조한 EIP 문서에는 이체 금액이 사용자 잔액을 초과하는 경우 이체를 취소해야 한다고 규정하고 있다고 지적했습니다.
네, 하지만 이체 금액이 사용자 잔액을 초과하는 경우 아래 요구 사항을 확인하세요. pic.twitter.com/JZTx7o8ucy
— 0xluckhu (@HUFAYU1985) 2023 년 9 월 11 일
“이 보안 결함의 악용은 토큰 계약의 신뢰성과 업계 표준 준수에 대한 더 광범위한 의문을 제기합니다. 토큰 계약의 복잡성이 증가함에 따라 유사한 취약점이 발생할 위험이 상당합니다.”라고 X의 다른 사용자가 말했습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 차트프라임. ChartPrime으로 트레이딩 게임을 향상시키십시오. 여기에서 액세스하십시오.
- BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
- 출처: https://unchainedcrypto.com/lido-says-ldo-steth-tokens-remain-safe-despite-fake-deposit-attacks/