O protocolo de staking líquido da Ethereum, Lido Finance, garantiu que os tokens Lido DAO (LDO) e staked-Ether (stETH) permanecem seguros, apesar de hackers supostamente terem explorado uma falha de segurança conhecida no contrato do LDO.
A Lido não confirmou nenhuma exploração, mas reconheceu que a falha de segurança era conhecida e garantiu que os fundos de usuários em LDO e stETH estão seguros em resposta a uma postagem de 10 de setembro da empresa de segurança de redes blockchain SlowMist.
A SlowMist disse que o contrato defeituoso do token LDO permite que agentes mal-intencionados facilitem ataques de "depósito falso" em exchanges porque o contrato permite que os usuários executem transações mesmo quando não têm fundos suficientes para efetuá-la. Esse código se desvia do padrão de token Ethereum Request for Comment 20 (ERC-20), de acordo com a SlowMist.
No entanto, a Lido Finance argumentou que a falha está embutida em todos os tokens ERC-20, e não apenas no token LDO da Lido:
This behaviour is expected and conforms to the ERC20 token standard (see tweet below). Both LDO and stETH (and Lido governance) remain safe.
— Lido (@LidoFinance) September 10, 2023
Lido token integration guides will be updated with LDO specifics to make this more visible shortly.
Esse comportamento é esperado e está em conformidade com o padrão dos tokens ERC20 (veja o tweet abaixo). Tanto a LDO quanto a stETH (e a governança da Lido) permanecem seguras.
Os guias de integração de tokens da Lido serão atualizados com os detalhes do LDO para tornar isso mais evidente em breve.
— Lido (@LidoFinance)
A SlowMist disse que os ataques de "depósito falso" ocorreram porque o contrato do token LDO executou transferências em que o valor é maior do que aquele que o usuário realmente possui, acionando um retorno falso em vez de reverter a transação. Embora a empresa tenha dito que o contrato do token foi recentemente explorado por meio desse ataque, nenhuma evidência on-chain foi fornecida.
O Cointelegraph entrou em contato com a SlowMist para comentar as afirmações, mas não recebeu uma resposta imediata.
Enquanto isso, o analista on-chain "Hercules" explicou em 10 de setembro que a falha de segurança pode não ser detectada pelas exchanges de criptomoedas.
A SlowMist recomenda que os detentores de LDOs também verifiquem os valores de retorno das transferências do contrato do token, além do sucesso ou fracasso de uma transação.
A empresa de segurança de redes blockchain concluiu que as implementações e os comportamentos dos contratos de tokens variam de acordo com o projeto e que devem ser realizados testes abrangentes antes da integração de quaisquer novos tokens.
No entanto, a Lido destacou no documento oficial da Proposta de Melhoria do Ethereum – de coautoria de Vitalik Buterin em novembro de 2015 – que as funções "transfer" e "transferFrom" devem retornar o status da transferência e só são recomendadas para reverter uma transação em casos excepcionais.
ERC20 token standard: https://t.co/YlrS1ZN6Fd
— Lido (@LidoFinance) September 10, 2023
1) Both transfer and transferFrom are required to return transfer status and are only recommended to revert a tx in exceptional cases.
2) The standard says that a caller is obliged to check the return status (see 'Token methods'). pic.twitter.com/6KTcIyxo2F
Padrão de tokens ERC20: https://t.co/YlrS1ZN6Fd
1) Tanto o transfer quanto o transferFrom devem retornar o status da transferência e só são recomendados para reverter um tx em casos excepcionais.
2) O padrão diz que um usuário é obrigado a verificar o status de retorno (consulte "Métodos de token").
— Lido (@LidoFinance)
Para resolver a falha de segurança, a Lido confirmou que os guias de integração do token LDO serão atualizados em breve.
Colecione este artigo como um NFT para preservar esse momento da história e mostrar seu apoio ao jornalismo independente no espaço cripto.
LEIA MAIS