El protocolo de staking de Ethereum Lido Finance, ha asegurado que tanto Lido DAO (LDO) como los tokens staked-Ether (stETH) siguen siendo seguros a pesar de que unos hackers supuestamente aprovecharon una vulnerabilidad conocida en el contrato de los tokens LDO.
Lido no confirmó ningún exploit, pero reconoció que se conocía la vulnerabilidad de seguridad y aseguró que los fondos de LDO y stETH siguen siendo seguros en respuesta a una publicación del 10 de septiembre realizada por la empresa de seguridad blockchain, SlowMist.
SlowMist afirmó que el contrato de token defectuoso de LDO permite que actores maliciosos faciliten ataques de «depósito falso» en los exchanges porque el contrato de token de LDO permite a los usuarios ejecutar transacciones incluso cuando no tienen fondos suficientes. Según SlowMist, este código se desvía del estándar de token ERC-20 de Ethereum.
Sin embargo, Lido Finance argumenta que la vulnerabilidad está presente en todos los tokens ERC-20, no solo en el token LDO de Lido:
This conduct is anticipated and conforms to the ERC20 token normal (see tweet underneath). The two LDO and stETH (and Lido governance) stay risk-free.
Lido token integration guides will be updated with LDO details to make this far more visible shortly.
— Lido (@LidoFinance) September 10, 2023
SlowMist afirmó que los ataques de «depósito falso» provenían del contrato de token de LDO, que ejecutaba transferencias en las que el valor era mayor de lo que el usuario realmente poseía, lo que desencadenaba un retorno falso en lugar de revertir la transacción. Aunque la empresa dijo que el contrato de token de Lido había sido recientemente explotado mediante este ataque, no proporcionó evidencia en la cadena.
Noticias Blockchain se puso en contacto con SlowMist para obtener comentarios, pero no recibió una respuesta inmediata.
Mientras tanto, el analista on-chai «Hercules» explicó el 10 de septiembre que la vulnerabilidad de seguridad puede que no sea detectada por los exchanges de criptomonedas.
SlowMist recomienda a los holders de LDO que también verifiquen los valores de retorno de las transferencias del contrato de token, además de la completación o fallo de una transacción.
La empresa de seguridad blockchain concluyó que la implementación y el comportamiento de los contratos de tokens varían según el proyecto, y que se debe realizar una prueba exhaustiva antes de integrar nuevos tokens.
Sin embargo, Lido destacó en el documento oficial de Propuesta de Mejora de Ethereum, coescrito por Vitalik Buterin en noviembre de 2015, que tanto las funciones «transfer» como «transferFrom» deben devolver el estado de la transferencia y solo se recomienda revertir una transacción en casos excepcionales.
ERC20 token conventional: https://t.co/YlrS1ZN6Fd
1) Both transfer and transferFrom are needed to return transfer status and are only suggested to revert a tx in outstanding instances.
2) The normal suggests that a caller is obliged to test the return standing (see ‘Token methods’). pic.twitter.com/6KTcIyxo2F
— Lido (@LidoFinance) September 10, 2023
Para resolver el fallo de seguridad, Lido ha confirmado que las guías de integración del token LDO se actualizarán en breve.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Noticias Blockchain. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Sigue leyendo:
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto complete invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.