Уязвимость в контракте токена LDO: объяснение и исправление

В сентябре 2023 года компания по обеспечению безопасности блокчейнов SlowMist обнаружила уязвимость в контракте токена Lido DAO (LDO). Эта уязвимость позволяет злоумышленникам совершать переводы на сумму, превышающую имеющиеся у них средства.

Что такое “фейковые вклады”?

В контексте этой уязвимости “фейковый вклад” – это тип атаки, при которой злоумышленник отправляет транзакцию на сумму, превышающую его баланс, и контракт возвращает false, хотя транзакция должна быть отменена.

В чем суть уязвимости?

Контракт токена LDO позволяет пользователям совершать транзакции, даже если у них недостаточно средств. Это не соответствует стандарту токенов Ethereum (ERC-20).

Затронул ли взлом пользователей?

Lido Finance заявила, что никаких реальных взломов не было. Однако они признали, что уязвимость существовала и может повлиять на биржи криптовалют, которые не проверяют коды возврата транзакций.

Как исправить уязвимость?

Lido Finance вскоре выпустит обновленные руководства по интеграции токена LDO, чтобы устранить эту уязвимость.

Рекомендации для бирж криптовалют

SlowMist рекомендует биржам криптовалют проверять коды возврата транзакций в дополнение к статусу успеха или неудачи транзакции.

Контракт токена – это программный код, который определяет правила выпуска и использования токена на блокчейне.

ERC-20 – это стандарт токенов, который определяет, как токены должны работать на блокчейне Ethereum.

EIP – это предложение по улучшению Ethereum, которое предлагает изменения в протоколе Ethereum.