У Lido Finance не підтвердили вразливість токенів LDO
Команда протоколу ліквідного стейкінгу Lido Finance запевнила користувачів, що активи в токенах LDO та stETH залишаються в безпеці, незважаючи на наявність “особливості” в смарт-контракті.
This behaviour is expected and conforms to the ERC20 token standard (see tweet below). Both LDO and stETH (and Lido governance) remain safe.
Lido token integration guides will be updated with LDO specifics to make this more visible shortly.— Lido (@LidoFinance) September 10, 2023
Розробники не підтвердили можливість використання жодних експлойтів через помилку, на яку звернули увагу експерти компанії SlowMist.
Спеціалісти компанії кібербезпеки заявили, що у контракті LDO існує “операційна проблема”, яку нещодавно зловмисники використовували для атак на біржі за допомогою “фейкових депозитів”.
Уразливість дозволяє передавати токени в кількості, що перевищує фактичні активи користувача. У цьому випадку контракт LDO не запускає звичайний відкат транзакції, а просто повертає значення “false” як результат. Експерти вказали, що код відрізняється від стандарту ERC-20.
У Lido спростували їхнє твердження. Розробники відзначили, що функції “transfer” та “transferFrom” потрібні для визначення статусу транзакції та рекомендують скасовувати їх лише в виняткових випадках. При цьому правила чітко вимагають від викликаючої сторони перевіряти статус повернення, додали вони.
ERC20 token standard: https://t.co/YlrS1ZN6Fd
1) Both transfer and transferFrom are required to return transfer status and are only recommended to revert a tx in exceptional cases.
2) The standard says that a caller is obliged to check the return status (see ‘Token methods’). pic.twitter.com/6KTcIyxo2F— Lido (@LidoFinance) September 10, 2023
Команда проекту DeFi має намір оновити посібник по інтеграції токенів Lido, враховуючи особливості LDO.
У SlowMist відзначили, що на ринку існує багато токенів, відмінних від вимог ERC-20. Тому експерти рекомендували не спиратися лише на успіх або невдачу транзакцій, а також на фактичні значення, повертані контрактом. Вони наголосили на важливості глибокого розуміння коду, всебічного тестування перед інтеграцією та регулярного аудиту кібербезпеки.
На момент написання загальна вартість заблокованих коштів в протоколі Lido становила приблизно $14 млрд, за даними DeFi Llama.