Das Ethereum-Absteckprotokoll Lido Finance hat sichergestellt, dass sowohl Lido DAO (LDO) als auch abgesteckte Ether-Token (stETH) sicher bleiben, obwohl Hacker angeblich eine bekannte Sicherheitslücke im LDO-Token-Vertrag ausnutzen.
Lido nicht bestätigen Als Reaktion auf einen Beitrag des Blockchain-Sicherheitsunternehmens SlowMist vom 10. September räumte er jedoch ein, dass die Sicherheitslücke bekannt sei, und versicherte, dass LDO- und stETH-Gelder weiterhin sicher seien.
SlowMist sagte, der fehlerhafte Token-Vertrag von LDO ermögliche es böswilligen Akteuren, „Fake-Deposit“-Angriffe auf Börsen zu ermöglichen, da der Token-Vertrag von LDO Benutzern die Ausführung von Transaktionen auch dann ermögliche, wenn sie nicht über ausreichende Mittel verfügten. Laut SlowMist weicht dieser Code vom Token-Standard Ethereum Request for Comment 20 (ERC-20) ab.
Lido Finance argumentierte jedoch, dass der Fehler in allen ERC-20-Tokens eingebaut sei – nicht nur im LDO-Token von Lido:
Dieses Verhalten wird erwartet und entspricht dem ERC20-Token-Standard (siehe Tweet unten). Sowohl LDO als auch stETH (und die Lido-Governance) bleiben sicher.
Die Lido-Token-Integrationsleitfäden werden in Kürze mit LDO-Besonderheiten aktualisiert, um dies besser sichtbar zu machen.
— Lido (@LidoFinance) 10. September 2023
SlowMist sagte, die „Fake-Deposit“-Angriffe seien auf den Token-Vertrag von LDO zurückzuführen, der Transfers ausführte, bei denen der Wert größer ist als der tatsächliche Besitz des Benutzers, wodurch eine falsche Rückgabe statt einer Rückgängigmachung der Transaktion ausgelöst wurde. Obwohl das Unternehmen erklärte, dass der Token-Vertrag von Lido kürzlich durch diesen Angriff ausgenutzt wurde, wurden keine Beweise in der Kette vorgelegt.
Cointelegraph hat SlowMist um einen Kommentar gebeten, jedoch keine sofortige Antwort erhalten.
Unterdessen hat der On-Chain-Analyst „Hercules“ erklärt am 10. September, dass die Sicherheitslücke möglicherweise nicht von Kryptowährungsbörsen erkannt wird.
SlowMist empfiehlt LDO-Inhabern, zusätzlich zum Erfolg oder Misserfolg einer Transaktion auch die Rückgabewerte der Token-Vertragsübertragungen zu überprüfen.
Das Blockchain-Sicherheitsunternehmen abgeschlossen dass die Implementierung und das Verhalten von Token-Verträgen je nach Projekt unterschiedlich sind, und umfassende Tests durchzuführen, bevor neue Token integriert werden.
Verwandt: Die Absteckdienste von Ethereum stimmen einer Grenze von 22 % aller Validatoren zu
Allerdings betonte Lido im offiziellen Ethereum Improvement Proposal-Dokument – das im November 2015 von Vitalik Buterin mitverfasst wurde –, dass sowohl die Funktionen „transfer“ als auch „transferFrom“ den Übertragungsstatus zurückgeben müssen und nur in Ausnahmefällen zum Rückgängigmachen einer Transaktion empfohlen werden.
ERC20-Token-Standard: https://t.co/YlrS1ZN6Fd
1) Sowohl transfer als auch transferFrom sind erforderlich, um den Übertragungsstatus zurückzugeben, und werden nur in Ausnahmefällen zum Zurücksetzen einer Sendung empfohlen.
2) Der Standard besagt, dass ein Aufrufer verpflichtet ist, den Rückgabestatus zu überprüfen (siehe „Token-Methoden“). pic.twitter.com/6KTcIyxo2F
— Lido (@LidoFinance) 10. September 2023
Um die Sicherheitslücke zu schließen, Lido bestätigt Die LDO-Token-Integrationsleitfäden werden in Kürze aktualisiert.
Zeitschrift: DeFi Dad, Hall of Flame: Ethereum ist „erheblich unterbewertet“, wird aber immer mächtiger