尽管代币合约存在缺陷,Lido保证LDO和stETH代币仍然安全
Despite the flaws in the token contract, Lido ensures the safety of LDO and stETH tokens.
Ethereum Staking 协议 Lido Finance 已确保 Lido DAO(LDO)和 staked-Ether(stETH)代币的安全,尽管黑客据称利用了 LDO 的代币合约中已知的安全漏洞。
Lido 没有确认任何漏洞,但承认安全漏洞已知,并回应了区块链安全公司 SlowMist 在 9 月 10 日发布的帖子,向 LDO 和 stETH 的资金的安全提供了保证。
SlowMist 表示,LDO 的有缺陷的代币合约允许不良参与者在交易所上进行“虚假存款”攻击,因为 LDO 的代币合约使用户能够在没有足够资金的情况下执行交易。根据 SlowMist 的说法,这个代码与以太坊请求评论 20(ERC-20)代币标准不同。
然而,Lido Finance 辩称这个缺陷是内置在所有 ERC-20 代币中的,而不仅仅是 Lido 的 LDO 代币:
这种行为是符合 ERC20 代币标准的(请参见下面的推文)。LDO 和 stETH(以及 Lido 治理)都是安全的。Lido 代币集成指南将很快更新,以更清晰地说明 LDO 的特定内容。
— Lido (@LidoFinance) 2023 年 9 月 10 日
SlowMist 表示,“虚假存款”攻击来自于 LDO 的代币合约执行的转账,其中的值大于用户实际拥有的,从而触发了错误的返回而不是撤销交易。虽然该公司表示 Lido 的代币合约最近通过这种攻击被利用,但没有提供链上证据。
Cointelegraph 联系了 SlowMist 寻求评论,但没有立即得到回复。
与此同时,链上分析师“Hercules”在 9 月 10 日解释说,这个安全漏洞可能不会被加密货币交易所察觉。
SlowMist 建议 LDO 持有者在检查交易的成功或失败之外,还要检查代币合约转账的返回值。
该区块链安全公司总结道,代币合约的实现和行为因项目而异,在集成任何新代币之前要进行全面的测试。
相关:Ethereum Staking 服务同意将所有验证者限制在 22% 以内
然而,Lido 在官方的以太坊改进提案文档中强调,在 2015 年 11 月由 Vitalik Buterin 共同撰写的文档中,”transfer” 和 “transferFrom” 函数必须返回转账状态,并且只建议在特殊情况下撤销交易。
ERC20 代币标准:https://t.co/YlrS1ZN6Fd1)”transfer” 和 “transferFrom” 都需要返回转账状态,并且只建议在特殊情况下撤销交易。2)标准规定调用者有义务检查返回状态(参见“Token methods”)。
— Lido (@LidoFinance) 2023 年 9 月 10 日
为解决安全漏洞,Lido 确认 LDO 代币集成指南将很快更新。
杂志:DeFi Dad,名人堂:以太坊“价值被严重低估”,但变得更加强大
We will continue to update 算娘; if you have any questions or suggestions, please contact us!
Was this article helpful?
93 out of 132 found this helpful
Related articles