以太坊质押协议 Lido Finance 保证 Lido DAO尽管黑客据称利用了 LDO 代币合约中的已知安全漏洞,但质押以太币 (stETH) 代币仍然安全。
Lido 没有证实任何漏洞,但承认安全漏洞是已知的,并根据区块链安全公司 SlowMist 9 月 10 日的帖子,保证 LDO 和stETH 资金仍然安全。
SlowMist 表示,LDO 的有缺陷的代币合约允许不良行为者对交易所进行虚假存款攻击,因为 LDO 的代币合约使用户即使在没有足够资金的情况下也可以执行交易。该代码偏离了以太坊请求评论 20 (ERC-20) 代币标准。然而,Lido Finance 认为该缺陷存在于所有 ERC-20 代币中,而不仅仅是 Lido 的 LDO 代币。
SlowMist 表示虚假存款攻击来自 LDO 的代币合约执行转账,其价值大于用户实际拥有的金额,从而触发虚假回报,而不是恢复交易。虽然该公司表示 Lido 的代币合约最近已通过这次攻击被利用,但没有提供链上证据。
与此同时,链上分析师Hercules在 9 月 10 日解释说,加密货币交易所可能不会发现该安全漏洞。慢雾建议LDO持有者除了查看交易的成功或失败之外,还应检查代币合约转账的返回值。
区块链安全公司得出的结论是,代币合约的实施和行为因项目而异,并在集成任何新代币之前进行全面测试。然而,Lido 在官方以太坊改进提案文件(由 Vitalik Buterin 于 2015 年 11 月共同撰写)中强调,“transfer”和“transferFrom”函数都必须返回传输状态,并且仅建议在特殊情况下恢复交易。
为了解决安全漏洞,Lido确认 LDO 代币集成指南将很快更新。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
