Giao thức đặt cược Ethereum, Lido Finance đã đảm bảo cả mã thông báo Lido DAO (LDO) và staked-Ether (stETH) vẫn an toàn mặc dù tin tặc bị cáo buộc khai thác lỗ hổng bảo mật đã biết trong token contract của LDO.
Lido không xác nhận bất kỳ hành vi khai thác nào, nhưng thừa nhận lỗ hổng bảo mật đã được biết đến và đảm bảo rằng các quỹ LDO và stETH vẫn an toàn theo bài đăng ngày 10 tháng 9 của công ty bảo mật blockchain SlowMist.
SlowMist cho biết token contract thiếu sót của LDO cho phép các tác nhân xấu thực hiện các cuộc tấn công “fake deposit” trên các sàn giao dịch vì token contract của LDO cho phép người dùng thực hiện giao dịch ngay cả khi họ không có đủ tiền.
Tuy nhiên, Lido Finance lập luận rằng lỗ hổng này được tích hợp trong tất cả các token ERC-20 – không chỉ token LDO của Lido:
?SlowMist Security Alert?
There’s a known operational issue in the LDO Token contract that has recently been exploited by malicious actors for “fake deposit” attacks on exchanges. pic.twitter.com/uHxx89Oo1D
— SlowMist (@SlowMist_Team) September 10, 2023
SlowMist cho biết các cuộc tấn công “fake deposit” xuất phát từ token contract của LDO thực hiện chuyển khoản trong đó giá trị lớn hơn những gì người dùng thực sự sở hữu, gây ra lợi nhuận sai, trái ngược với việc hoàn nguyên giao dịch. Mặc dù công ty cho biết token contract của Lido gần đây đã bị khai thác thông qua cuộc tấn công này nhưng không có bằng chứng trực tuyến nào được cung cấp.
Cointelegraph đã liên hệ với SlowMist để yêu cầu bình luận nhưng chưa nhận được phản hồi. Trong khi đó, nhà phân tích trực tuyến “Hercules” đã giải thích vào ngày 10 tháng 9 rằng lỗ hổng bảo mật có thể không được các sàn giao dịch tiền điện tử phát hiện.
?A Security flaw is detected on LIDO’s token( $LDO ) contract.?
Recently, hackers exploited a security vulnerability in the LDO token contract to execute deceptive deposit attacks on exchanges.
According to cryptocurrency security firm SlowMist, the LDO token contract…
— Hercules | DeFi (@Hercules_Defi) September 10, 2023
SlowMist khuyến nghị chủ sở hữu LDO cũng nên kiểm tra giá trị trả lại của việc chuyển token contract bên cạnh sự thành công hay thất bại của giao dịch. Công ty bảo mật blockchain kết luận rằng việc triển khai và hành vi token contract khác nhau tùy theo dự án và tiến hành thử nghiệm toàn diện trước khi tích hợp bất kỳ mã thông báo mới nào.
In conclusion, token contract implementations and behaviors may vary from project to project. To safeguard funds and transaction accuracy, it’s recommended to have a deep understanding of the contract logic and conduct comprehensive testing before integrating any new tokens.
— SlowMist (@SlowMist_Team) September 10, 2023
Tuy nhiên, Lido đã nhấn mạnh trong tài liệu Ethereum Improvement Proposal chính thức — do Vitalik Buterin đồng tác giả vào tháng 11 năm 2015 — rằng cả hai hàm “transfer” và “transferFrom” đều phải trả về trạng thái chuyển và chỉ được khuyến nghị hoàn nguyên giao dịch trong những trường hợp đặc biệt.
This behaviour is expected and conforms to the ERC20 token standard (see tweet below). Both LDO and stETH (and Lido governance) remain safe.
Lido token integration guides will be updated with LDO specifics to make this more visible shortly.
— Lido (@LidoFinance) September 10, 2023
Để giải quyết lỗ hổng bảo mật, Lido xác nhận hướng dẫn tích hợp mã thông báo LDO sẽ sớm được cập nhật.
