zombie
> > > >
> > > >

安全公司發現 LDO 代幣合約存在漏洞,Lido 回應稱 LDO 和 stETH 仍安全

2023/09/11 12:06
安全公司發現 LDO 代幣合約存在漏洞,Lido 回應稱 LDO 和 stETH 仍安全

區塊鏈安全公司 SlowMist 上週日(10日)在 X 上表示,以太坊質押協議 Lido 的 LDO 代幣合約存在一個已知的安全漏洞,讓攻擊者能對交易所進行「假充值」(fake deposit)攻擊,因為 LDO 的代幣合約使用戶在執行大於其實際擁有價值的轉帳操作時,不會觸發通常的交易回滾,相反,它只會返回「false」作為結果,而不是指示交易失敗。

SlowMist 稱最近存在此類漏洞利用,但沒有提供鏈上證據。該安全機構建議 LDO 持有者除了檢查交易是否成功之外,還要檢查代幣合約的實際返回值。

SlowMist 還表示應注意市場上有很多代幣合約不符合 ERC20 標準,在整合新代幣之前,確保深入了解和分析其合約代碼,並定期進行代碼審計和安全檢查。SlowMist 總結說,代幣合約的實施和行為因項目而異,在整合任何新代幣之前都要進行全面測試。

鏈上分析師 Hercules 也提到了該漏洞,並表示惡意用戶可利用該漏洞向交易所發送多於其擁有的 LDO 代幣,而交易所可能無法識別這一差異,導致用戶帳戶被錯誤地記入虛高的金額。

Lido 團隊對此回應稱此行為是預期之中的,符合 ERC20 代幣標準,LDO 和 Lido 中質押的以太幣 stETH(以及 Lido 治理)仍然安全。

Lido 援引 2015 年 11 月由以太坊創辦人 Vitalik Buterin 共同撰寫的官方以太坊改進提案(EIP)文件強調,「transfer」和「transferFrom」函數都必須返回轉帳狀態,只有在特殊情況下才建議回退(revert)交易。

為了解決這個安全漏洞,Lido 表示 LDO 代幣整合指南很快就會更新。

join Zombit

加入桑幣的社群平台,跟我們一起討論加密貨幣新資訊!

桑幣區識 Zombit

桑幣筆記 Zombit 為專業的區塊鏈財經自媒體,利用自身的金融和區塊鏈知識,提供區塊鏈相關的時事新聞、專題專欄、新手教學和趨勢週報...等,協助大眾吸收正確的資訊,並和社群朋友站在一起,互相扶持成長。

桑幣熱門榜

zombie

桑幣正在徵文中,我們想要讓好的東西讓更多人看見!
只要是跟金融科技、區塊鏈及加密貨幣相關的文章,都非常歡迎向我們投稿
投稿信箱:[email protected]

為提供您更多優質的服務與內容,本網站使用 cookies 分析技術。若您繼續閱覽本網站內容,即表示您同意我們使用 cookies,關於更多相關隱私權政策資訊,請閱讀我們的隱私權及安全政策宣示