Công ty bảo mật chuỗi khối SlowMist đã xác định một vấn đề hoạt động trong hợp đồng LDO Token được cho là đã bị các tác nhân độc hại khai thác.

Giao thức đặt cược Ethereum Lido Finance tuyên bố rằng một lỗ hổng rõ ràng trong logic của hợp đồng mã thông báo của nó không phải là nguyên nhân gây lo ngại.

Trong một bài đăng X vào ngày 10 tháng XNUMX, công ty bảo mật blockchain SlowMist cho biết họ đã xác định được một vấn đề hoạt động với hợp đồng LDO Token mà họ cho rằng gần đây đã bị các tác nhân độc hại khai thác để thực hiện các cuộc tấn công “gửi tiền giả” trên các sàn giao dịch.

2. Cần lưu ý rằng có nhiều hợp đồng token trên thị trường không tuân thủ tiêu chuẩn ERC20. Trước khi tích hợp các token mới, hãy đảm bảo hiểu biết sâu sắc và phân tích mã hợp đồng của chúng để đảm bảo logic gửi tiền chính xác.

- SlowMist (@SlowMist_Team) Ngày 10 tháng 2023 năm XNUMX

“Cụ thể, khi hợp đồng mã thông báo LDO thực hiện hoạt động chuyển khoản với số lượng vượt quá mức nắm giữ thực tế của người dùng, nó sẽ không kích hoạt quá trình khôi phục giao dịch thông thường. Thay vào đó, nó chỉ trả về kết quả là “false” thay vì chỉ ra lỗi. đã viết SlowMist trên X.

Hợp đồng thiếu sót được cho là cho phép một tác nhân độc hại kết thúc nhiều mã thông báo LDO hơn cho một sàn giao dịch so với mức họ thực sự nắm giữ – một sự khác biệt có thể bị nhiều sàn giao dịch bỏ qua.

Lido đáp lại tuyên bố của SlowMist, nói rằng hành vi của hợp đồng không có gì khác thường và nó tuân thủ tiêu chuẩn mã thông báo ERC-20. Nền tảng đặt cược đảm bảo với người dùng rằng cả LDO và ETH (stETH) được đặt cược vẫn an toàn.

Hành vi này được mong đợi và tuân thủ tiêu chuẩn mã thông báo ERC20 (xem tweet bên dưới). Cả LDO và stETH (và quản trị Lido) vẫn an toàn.

Hướng dẫn tích hợp mã thông báo Lido sẽ được cập nhật với các thông tin cụ thể về LDO để làm cho điều này trở nên rõ ràng hơn trong thời gian ngắn.

- Lido (@LidoFinance) Ngày 10 tháng 2023 năm XNUMX

Thông thường, tiêu chuẩn mã thông báo ERC-20 yêu cầu đảo ngược chức năng chuyển tiền nếu người gửi thiếu đủ tiền. Mặc dù có vẻ như hợp đồng của Lido đi chệch khỏi tiêu chuẩn này, Lido tuyên bố rằng các chức năng chuyển giao được yêu cầu để trả về trạng thái chuyển khoản và hoàn nguyên các giao dịch trong các trường hợp đặc biệt. 

Tuy nhiên, một người dùng X đã chỉ ra rằng tài liệu EIP mà Lido đề cập đến quy định rằng giao dịch chuyển tiền sẽ bị hủy bỏ nếu số tiền chuyển vượt quá số dư của người dùng.

có, nhưng hãy kiểm tra yêu cầu bên dưới khi số tiền chuyển vượt quá số dư của người dùng. pic.twitter.com/JZTx7o8ucy

— 0xluckhu (@HUFAYU1985) Ngày 11 tháng 2023 năm XNUMX

“Việc khai thác lỗ hổng bảo mật này đặt ra những câu hỏi rộng hơn về độ tin cậy của các hợp đồng token và việc tuân thủ các tiêu chuẩn ngành. Với sự phức tạp ngày càng tăng của các hợp đồng token, nguy cơ xảy ra các lỗ hổng tương tự là rất lớn”, một người dùng khác trên X.