В Lido Finance не подтвердили эксплойт токенов LDO
Команда протокола ликвидного стейкинга Lido Finance заверила пользователей, что активы в токенах LDO и stETH остаются в безопасности, несмотря на наличие уязвимости в смарт-контракте.
This behaviour is expected and conforms to the ERC20 token standard (see tweet below). Both LDO and stETH (and Lido governance) remain safe.
— Lido (@LidoFinance) September 10, 2023
Lido token integration guides will be updated with LDO specifics to make this more visible shortly.
Разработчики не подтвердили какие-либо эксплойты через баг, на который обратили внимание эксперты компании SlowMist.
Специалисты фирмы кибербезопасности заявили, что в контракте LDO существует «операционная проблема», которую недавно злоумышленники использовали для атак на биржи с помощью «фейковых депозитов».
Уязвимость позволяет передавать токены в количестве, превышающим фактические активы пользователя. В этом случае контракт LDO не запускает обычный откат транзакции, а просто возвращает значение «false» в качестве результата. Эксперты указали, что код отличается от стандарта ERC-20.
В Lido опровергли их утверждение. Разработчики отметили, что функции «transfer» и «transferFrom» необходимы для определения статуса транзакции и рекомендуются для отмены только в исключительных случаях. При этом правила прямо требуют от вызывающей стороны проверять возвращаемый статус, добавили они.
ERC20 token standard: https://t.co/YlrS1ZN6Fd
— Lido (@LidoFinance) September 10, 2023
1) Both transfer and transferFrom are required to return transfer status and are only recommended to revert a tx in exceptional cases.
2) The standard says that a caller is obliged to check the return status (see 'Token methods'). pic.twitter.com/6KTcIyxo2F
Команда DeFi-проекта намерена обновить руководство по интеграции токенов Lido с учетом особенностей LDO.
В SlowMist отметили, что на рынке множество отличных от требований ERC-20 токенов. Поэтому эксперты рекомендовали не полагаться только на успех или неудачу транзакций, но и на фактические значения, возвращаемые контрактом. Они подчеркнули важность глубокого понимания кода, всестороннего тестирования перед интеграцией и регулярного аудита кибербезопасности.
На момент написания совокупная стоимость заблокированных в протоколе средств у Lido составляет ~$14 млрд, согласно DeFi Llama.
Напомним, в июле показатель превысил $15 млрд, а команда отметила «впечатляющий рост платформы и рыночный спрос».
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!