Lido asegura que los tokens LDO y stETH siguen siendo seguros pese a fallo en el contrato
El protocolo de staking de Ethereum; Lido Finance, ha asegurado que tanto Lido DAO (LDO) como los tokens staked-Ether (stETH) siguen siendo seguros a pesar de que unos hackers supuestamente aprovecharon una vulnerabilidad conocida en el contrato de los tokens LDO.
Lido no confirmó ningún exploit, pero reconoció que se conocía la vulnerabilidad de seguridad y aseguró que los fondos de LDO y stETH siguen siendo seguros en respuesta a una publicación del 10 de septiembre realizada por la empresa de seguridad blockchain, SlowMist.
- Hackean la cuenta de X de Vitalik Buterin y roban más de USD 691,000 de billeteras de las víctimas
SlowMist afirmó que el contrato de token defectuoso de LDO permite que actores maliciosos faciliten ataques de “depósito falso” en los exchanges porque el contrato de token de LDO permite a los usuarios ejecutar transacciones incluso cuando no tienen fondos suficientes. Según SlowMist, este código se desvía del estándar de token ERC-20 de Ethereum.
Sin embargo, Lido Finance argumenta que la vulnerabilidad está presente en todos los tokens ERC-20, no solo en el token LDO de Lido:
This behaviour is expected and conforms to the ERC20 token standard (see tweet below). Both LDO and stETH (and Lido governance) remain safe.
Lido token integration guides will be updated with LDO specifics to make this more visible shortly.
— Lido (@LidoFinance) September 10, 2023
SlowMist afirmó que los ataques de “depósito falso” provenían del contrato de token de LDO, que ejecutaba transferencias en las que el valor era mayor de lo que el usuario realmente poseía, lo que desencadenaba un retorno falso en lugar de revertir la transacción. Aunque la empresa dijo que el contrato de token de Lido había sido recientemente explotado mediante este ataque, no proporcionó evidencia en la cadena.
Cointelegraph se puso en contacto con SlowMist para obtener comentarios, pero no recibió una respuesta inmediata.
Mientras tanto, el analista on-chai “Hercules” explicó el 10 de septiembre que la vulnerabilidad de seguridad puede que no sea detectada por los exchanges de criptomonedas.
- VC Roundup: blockchain empresarial, staking de Bitcoin y Web3 despiertan el interés de los inversionistas
SlowMist recomienda a los holders de LDO que también verifiquen los valores de retorno de las transferencias del contrato de token, además de la completación o fallo de una transacción.
La empresa de seguridad blockchain concluyó que la implementación y el comportamiento de los contratos de tokens varían según el proyecto, y que se debe realizar una prueba exhaustiva antes de integrar nuevos tokens.
Sin embargo, Lido destacó en el documento oficial de Propuesta de Mejora de Ethereum, coescrito por Vitalik Buterin en noviembre de 2015, que tanto las funciones “transfer” como “transferFrom” deben devolver el estado de la transferencia y solo se recomienda revertir una transacción en casos excepcionales.
ERC20 token standard: https://t.co/YlrS1ZN6Fd
1) Both transfer and transferFrom are required to return transfer status and are only recommended to revert a tx in exceptional cases.
2) The standard says that a caller is obliged to check the return status (see ‘Token methods’). pic.twitter.com/6KTcIyxo2F
— Lido (@LidoFinance) September 10, 2023
Para resolver el fallo de seguridad, Lido ha confirmado que las guías de integración del token LDO se actualizarán en breve.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.