У Lido Finance не підтвердили вразливість токенів LDO

Команда протоколу ліквідного стейкінгу Lido Finance запевнила користувачів, що активи в токенах LDO та stETH залишаються в безпеці, незважаючи на наявність “особливості” в смарт-контракті.

This behaviour is expected and conforms to the ERC20 token standard (see tweet below). Both LDO and stETH (and Lido governance) remain safe.

Lido token integration guides will be updated with LDO specifics to make this more visible shortly.— Lido (@LidoFinance) September 10, 2023

Розробники не підтвердили можливість використання жодних експлойтів через помилку, на яку звернули увагу експерти компанії SlowMist.

Спеціалісти компанії кібербезпеки заявили, що у контракті LDO існує “операційна проблема”, яку нещодавно зловмисники використовували для атак на біржі за допомогою “фейкових депозитів”.

Уразливість дозволяє передавати токени в кількості, що перевищує фактичні активи користувача. У цьому випадку контракт LDO не запускає звичайний відкат транзакції, а просто повертає значення “false” як результат. Експерти вказали, що код відрізняється від стандарту ERC-20.

У Lido спростували їхнє твердження. Розробники відзначили, що функції “transfer” та “transferFrom” потрібні для визначення статусу транзакції та рекомендують скасовувати їх лише в виняткових випадках. При цьому правила чітко вимагають від викликаючої сторони перевіряти статус повернення, додали вони.

ERC20 token standard: https://t.co/YlrS1ZN6Fd

1) Both transfer and transferFrom are required to return transfer status and are only recommended to revert a tx in exceptional cases.

2) The standard says that a caller is obliged to check the return status (see ‘Token methods’). pic.twitter.com/6KTcIyxo2F— Lido (@LidoFinance) September 10, 2023

Команда проекту DeFi має намір оновити посібник по інтеграції токенів Lido, враховуючи особливості LDO.

У SlowMist відзначили, що на ринку існує багато токенів, відмінних від вимог ERC-20. Тому експерти рекомендували не спиратися лише на успіх або невдачу транзакцій, а також на фактичні значення, повертані контрактом. Вони наголосили на важливості глибокого розуміння коду, всебічного тестування перед інтеграцією та регулярного аудиту кібербезпеки.

На момент написання загальна вартість заблокованих коштів в протоколі Lido становила приблизно $14 млрд, за даними DeFi Llama.

Читайте ForkLog UA в соціальних мережах

Знайшли помилку в тексті? Виділіть її та натисніть CTRL+ENTER

Матеріали за темою

Ми використовуємо файли cookie для покращення якості роботи.

Користуючись сайтом, ви погоджуєтесь з Політикою приватності.

OK