Lido تضمین می کند که توکن های stETH با وجود نقص در قرارداد توکن ایمن هستند

حمله “سپرده جعلی” به مهاجم مخرب اجازه می دهد تا انتقالی را در جایی انجام دهد که مقدار درخواستی بیشتر از مقدار واقعی کاربر باشد.

پروتکل استیک اتریوم Lido Finance تایید کرده است که هر دو توکن Lido DAO (LDO) و Staking Ether (stETH) علیرغم اینکه هکرها از نقص های امنیتی شناخته شده در قرارداد توکن LDO سوء استفاده می کنند، ایمن هستند. من به شما اطمینان دادم که.

لیدو این کار را نکرد. تایید در پاسخ به پست ۱۰ سپتامبر توسط شرکت امنیتی بلاک چین SlowMist، این شرکت اذعان کرد که نقص های امنیتی شناخته شده است و اطمینان داد که وجوه LDO و stETH ایمن هستند.

اسلومیست گفت که قرارداد توکن LDO دارای نقص است زیرا به کاربران اجازه می دهد حتی زمانی که وجوه کافی ندارند تراکنش ها را انجام دهند و به طرف های مخرب اجازه می دهد “سپرده های جعلی” را در صرافی بگذارند.» گفت این حمله می تواند تسهیل شود. به گفته SlowMist، این کد از استاندارد توکن درخواست اتریوم برای اظهار نظر ۲۰ (ERC-20) منحرف است.

با این حال، Lido Finance ادعا کرد که این نقص در تمام توکن‌های ERC-20، نه فقط توکن LDO لیدو، وجود دارد.

این رفتار مورد انتظار است و با استاندارد توکن ERC20 مطابقت دارد (به توییت زیر مراجعه کنید). هر دو LDO و stETH (و حاکمیت Lido) امن باقی می مانند.

راهنمای ادغام توکن Lido به زودی با جزئیات بیشتر در مورد LDO به روز می شود تا قابل درک تر شود.

– Lido (@LidoFinance) ۱۰ سپتامبر ۲۰۲۳

اسلومیست گفت که حمله “سپرده جعلی” از قراردادهای رمز LDO سرچشمه می گیرد، که در آن کاربران نقل و انتقالاتی را با ارزشی بیشتر از ارزش واقعی خود انجام می دهند و به جای معکوس کردن تراکنش، بازپرداخت کاذب می دهند. این شرکت گفت که قرارداد توکن لیدو اخیراً از طریق این حمله مورد سوء استفاده قرار گرفته است، اما هیچ مدرکی در زنجیره ارائه نشده است.

Cointelegraph برای اظهار نظر با Slowmist تماس گرفت، اما بلافاصله پاسخی دریافت نکرد.

در همین حال، تحلیلگر زنجیره ای “هرکول” توضیح داد در ۱۰ سپتامبر، اعلام شد که این نقص امنیتی ممکن است توسط صرافی‌های ارزهای دیجیتال شناسایی نشود.

SlowMist به دارندگان LDO توصیه می کند که ارزش بازگشتی انتقال قرارداد رمز را علاوه بر موفقیت یا شکست تراکنش بررسی کنند.

شرکت امنیت بلاک چین نتیجه گیری پیاده سازی و رفتار قراردادهای توکن از پروژه ای به پروژه دیگر متفاوت است و توکن های جدید باید قبل از ادغام آنها به طور جامع آزمایش شوند.

مربوط: سرویس استیک اتریوم با محدودیت ۲۲ درصدی برای همه اعتبار سنجی ها موافقت می کند

با این حال، در پیشنهاد رسمی بهبود اتریوم که با همکاری Vitalik Buterin در نوامبر ۲۰۱۵ تهیه شد، لیدو بیان کرد که هر دو عملکرد “transfer” و “transferFrom” باید وضعیت انتقال را برگردانند و در موارد استثنایی تأکید کردیم که توصیه می شود فقط لغو شود. معاملات

استاندارد توکن ERC20: https://t.co/YlrS1ZN6Fd

۱) هر دو انتقال و transferFrom برای بازگرداندن وضعیت انتقال مورد نیاز هستند و توصیه می شود که TX را فقط در موارد استثنایی برگردانید.

۲) استاندارد بیان می کند که تماس گیرنده مسئول بررسی وضعیت بازگشت است (به روش های توکن مراجعه کنید). pic.twitter.com/6KTcIyxo2F

– Lido (@LidoFinance) ۱۰ سپتامبر ۲۰۲۳

برای رفع نقص های امنیتی، Lido تایید شده راهنمای یکپارچه سازی رمز LDO به زودی به روز می شود.

مجله: Hall of Flame، پدر DeFi: اتریوم به شدت کم ارزش شده است، اما در حال قدرتمندتر شدن است

نویسنده: Brayden Lindrea