區塊鏈安全公司 SlowMist 上週日(10日)在 X 上表示,以太坊質押協議 Lido 的 LDO 代幣合約存在一個已知的安全漏洞,讓攻擊者能對交易所進行「假充值」(fake deposit)攻擊,因為 LDO 的代幣合約使用戶在執行大於其實際擁有價值的轉帳操作時,不會觸發通常的交易回滾,相反,它只會返回「false」作為結果,而不是指示交易失敗。
SlowMist 稱最近存在此類漏洞利用,但沒有提供鏈上證據。該安全機構建議 LDO 持有者除了檢查交易是否成功之外,還要檢查代幣合約的實際返回值。
SlowMist 還表示應注意市場上有很多代幣合約不符合 ERC20 標準,在整合新代幣之前,確保深入了解和分析其合約代碼,並定期進行代碼審計和安全檢查。SlowMist 總結說,代幣合約的實施和行為因項目而異,在整合任何新代幣之前都要進行全面測試。
鏈上分析師 Hercules 也提到了該漏洞,並表示惡意用戶可利用該漏洞向交易所發送多於其擁有的 LDO 代幣,而交易所可能無法識別這一差異,導致用戶帳戶被錯誤地記入虛高的金額。
Lido 團隊對此回應稱此行為是預期之中的,符合 ERC20 代幣標準,LDO 和 Lido 中質押的以太幣 stETH(以及 Lido 治理)仍然安全。
Lido 援引 2015 年 11 月由以太坊創辦人 Vitalik Buterin 共同撰寫的官方以太坊改進提案(EIP)文件強調,「transfer」和「transferFrom」函數都必須返回轉帳狀態,只有在特殊情況下才建議回退(revert)交易。
為了解決這個安全漏洞,Lido 表示 LDO 代幣整合指南很快就會更新。
