Blockchain-beveiligingsbedrijf SlowMist heeft een operationeel probleem in het LDO-tokencontract geïdentificeerd dat naar verluidt door kwaadwillende actoren is uitgebuit.
Foto door Joan Gamell op Unsplash
Geplaatst op 11 september 2023 om 5:15 uur EST.
Ethereum-stakingprotocol Lido Finance beweert dat een schijnbare fout in de logica van zijn tokencontract geen reden tot bezorgdheid is.
In een X-post op 10 september zei blockchain-beveiligingsbedrijf SlowMist dat het een operationeel probleem had geïdentificeerd met het LDO-tokencontract, waarvan het beweert dat het onlangs door kwaadwillende actoren is uitgebuit voor ‘fake deposit’-aanvallen op beurzen.
2. Houd er rekening mee dat er veel tokencontracten op de markt zijn die niet voldoen aan de ERC20-standaard. Voordat u nieuwe tokens integreert, moet u zorgen voor een diepgaand begrip en analyse van hun contractcode om de juiste stortingslogica te garanderen.
- SlowMist (@SlowMist_Team) 10 september 2023
“In het bijzonder, wanneer het LDO-tokencontract een overdrachtsoperatie uitvoert met een hoeveelheid die de werkelijke bezittingen van de gebruiker overschrijdt, activeert dit niet de gebruikelijke transactie-rollback. In plaats daarvan retourneert het alleen ‘vals’ als uitkomst, in plaats van een mislukking aan te geven.” schreef SlowMist op X.
Het gebrekkige contract stelt een kwaadwillende actor vermoedelijk in staat om meer LDO-tokens aan een beurs te koppelen dan ze in werkelijkheid hebben – een discrepantie die door veel uitwisselingen over het hoofd kan worden gezien.
Lido reageerde op de beweringen van SlowMist en zei dat het gedrag van het contract niets bijzonders was en dat het voldoet aan de ERC-20-tokenstandaard. Het stakingplatform verzekerde gebruikers dat zowel LDO als gestaakte ETH (stETH) veilig bleven.
Dit gedrag is te verwachten en voldoet aan de ERC20-tokenstandaard (zie tweet hieronder). Zowel LDO als stETH (en Lido-governance) blijven veilig.
Lido-token-integratiegidsen zullen worden bijgewerkt met LDO-specificaties om dit binnenkort zichtbaarder te maken.
— Lido (@LidoFinanciën) 10 september 2023
Normaal gesproken vraagt de ERC-20-tokenstandaard om het omkeren van de overdrachtsfunctie als de afzender niet over voldoende geld beschikt. Hoewel het erop lijkt dat het contract van Lido afwijkt van deze norm, beweert Lido dat overdrachtsfuncties nodig zijn om de overdrachtsstatus terug te geven en in uitzonderlijke gevallen transacties terug te draaien.
Eén X-gebruiker wees er echter op dat in de EIP-documentatie waarnaar Lido verwees, is bepaald dat de overboeking moet worden teruggedraaid als het overboekingsbedrag het saldo van de gebruiker overschrijdt.
Ja, maar controleer de onderstaande vereiste als het overdrachtsbedrag het gebruikerssaldo overschrijdt. pic.twitter.com/JZTx7o8ucy
— 0xluckhu (@HUFAYU1985) 11 september 2023
“De exploitatie van dit beveiligingslek roept bredere vragen op over de betrouwbaarheid van tokencontracten en de naleving van industriestandaarden. Met de groeiende complexiteit van tokencontracten is het risico op soortgelijke kwetsbaarheden aanzienlijk”, aldus een andere gebruiker op X.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- ChartPrime. Verhoog uw handelsspel met ChartPrime. Toegang hier.
- BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
- Bron: https://unchainedcrypto.com/lido-says-ldo-steth-tokens-remain-safe-despite-fake-deposit-attacks/
