El protocolo de replanteo de Ethereum Lido Finance ha asegurado que tanto los tokens Lido DAO (LDO) como los tokens staked-Ether (stETH) permanezcan seguros a pesar de que los piratas informáticos supuestamente explotan una falla de seguridad conocida en el contrato de tokens de LDO.
Lido no confirmar Cualquier exploit, pero reconoció que la falla de seguridad era conocida y aseguró que los fondos LDO y stETH permanecen seguros en respuesta a una publicación del 10 de septiembre de la firma de seguridad blockchain SlowMist.
SlowMist dijo que el defectuoso contrato de token de LDO permite a los malos actores facilitar los ataques de “depósito falso” en los intercambios porque el contrato de tokens de LDO permite a los usuarios ejecutar transacciones incluso cuando no tienen fondos suficientes. Este código se desvía del estándar de token Ethereum Request for Comment 20 (ERC-20), según SlowMist.
Sin embargo, Lido Finance argumentó que la falla está integrada en todos los tokens ERC-20, no solo en el token LDO de Lido:
Este comportamiento es esperado y se ajusta al estándar de token ERC20 (ver tweet a continuación). Tanto LDO como stETH (y la gobernanza de Lido) permanecen seguros.
Las guías de integración de tokens Lido se actualizarán con las especificaciones de LDO para que esto sea más visible en breve.
— Lido (@LidoFinance) septiembre 10, 2023
SlowMist dijo que los ataques de “depósito falso” provienen del contrato de token de LDO que ejecuta transferencias donde el valor es mayor de lo que el usuario realmente posee, lo que desencadena un retorno falso en lugar de revertir la transacción. Si bien la firma dijo que el contrato simbólico de Lido ha sido explotado recientemente a través de este ataque, no se proporcionó evidencia en la cadena.
Cointelegraph contactó a SlowMist para obtener comentarios, pero no recibió una respuesta inmediata.
Mientras tanto, el analista en cadena “Hércules” Explicó el 10 de septiembre que la falla de seguridad puede no ser detectada por los intercambios de criptomonedas.
SlowMist recomienda a los titulares de LDO que también verifiquen los valores de retorno de las transferencias de contratos de tokens, además del éxito o el fracaso de una transacción.
La empresa de seguridad blockchain Concluyó que las implementaciones y comportamientos de los contratos de tokens varían según el proyecto y para realizar pruebas exhaustivas antes de integrar cualquier token nuevo.
Relacionado: Los servicios de staking de Ethereum acuerdan un límite del 22% de todos los validadores
Sin embargo, Lido destacó en el documento oficial de la Propuesta de Mejora de Ethereum, co-escrito por Vitalik Buterin en noviembre de 2015, que tanto las funciones “transfer” como “transferFrom” deben devolver el estado de transferencia y solo se recomiendan revertir una transacción en casos excepcionales.
Estándar de token ERC20: https://t.co/YlrS1ZN6Fd
1) Tanto la transferencia como la transferencia de A son necesarias para devolver el estado de transferencia y solo se recomienda revertir un tx en casos excepcionales.
2) La norma dice que una persona que llama está obligada a verificar el estado de retorno (ver ‘Métodos de token’). pic.twitter.com/6KTcIyxo2F
— Lido (@LidoFinance) septiembre 10, 2023
Para resolver la falla de seguridad, Lido empedernido las guías de integración de tokens LDO se actualizarán pronto.
Revista: DeFi Dad, Hall of Flame: Ethereum está “lamentablemente infravalorado” pero se está volviendo más poderoso