Команда протокола ликвидного стейкинга Lido Finance заверила пользователей, что активы в токенах LDO и stETH остаются в безопасности, несмотря на наличие уязвимости в смарт-контракте.
Разработчики не подтвердили какие-либо эксплойты через баг, на который обратили внимание эксперты компании SlowMist.
Специалисты фирмы кибербезопасности заявили, что в контракте LDO существует «операционная проблема», которую недавно злоумышленники использовали для атак на биржи с помощью «фейковых депозитов».
Уязвимость позволяет передавать токены в количестве, превышающим фактические активы пользователя. В этом случае контракт LDO не запускает обычный откат транзакции, а просто возвращает значение «false» в качестве результата. Эксперты указали, что код отличается от стандарта ERC-20.
В Lido опровергли их утверждение. Разработчики отметили, что функции «transfer» и «transferFrom» необходимы для определения статуса транзакции и рекомендуются для отмены только в исключительных случаях. При этом правила прямо требуют от вызывающей стороны проверять возвращаемый статус, добавили они.
Команда DeFi-проекта намерена обновить руководство по интеграции токенов Lido с учетом особенностей LDO.
В SlowMist отметили, что на рынке множество отличных от требований ERC-20 токенов. Поэтому эксперты рекомендовали не полагаться только на успех или неудачу транзакций, но и на фактические значения, возвращаемые контрактом. Они подчеркнули важность глубокого понимания кода, всестороннего тестирования перед интеграцией и регулярного аудита кибербезопасности.
На момент написания совокупная стоимость заблокированных в протоколе средств у Lido составляет ~$14 млрд, согласно DeFi Llama.
В июле показатель превысил $15 млрд, а команда отметила «впечатляющий рост платформы и рыночный спрос».
Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram.