區塊鏈安全公司 SlowMist 上週日（10日）在 X 上表示，以太坊質押協議 Lido 的 LDO 代幣合約存在一個已知的安全漏洞，讓攻擊者能對交易所進行「假充值」（fake deposit）攻擊，因為 LDO 的代幣合約使用戶在執行大於其實際擁有價值的轉帳操作時，不會觸發通常的交易回滾，相反，它只會返回「false」作為結果，而不是指示交易失敗。

SlowMist 稱最近存在此類漏洞利用，但沒有提供鏈上證據。該安全機構建議 LDO 持有者除了檢查交易是否成功之外，還要檢查代幣合約的實際返回值。

SlowMist 還表示應注意市場上有很多代幣合約不符合 ERC20 標準，在整合新代幣之前，確保深入了解和分析其合約代碼，並定期進行代碼審計和安全檢查。SlowMist 總結說，代幣合約的實施和行為因項目而異，在整合任何新代幣之前都要進行全面測試。

鏈上分析師 Hercules 也提到了該漏洞，並表示惡意用戶可利用該漏洞向交易所發送多於其擁有的 LDO 代幣，而交易所可能無法識別這一差異，導致用戶帳戶被錯誤地記入虛高的金額。

Lido 團隊對此回應稱此行為是預期之中的，符合 ERC20 代幣標準，LDO 和 Lido 中質押的以太幣 stETH（以及 Lido 治理）仍然安全。

Lido 援引 2015 年 11 月由以太坊創辦人 Vitalik Buterin 共同撰寫的官方以太坊改進提案（EIP）文件強調，「transfer」和「transferFrom」函數都必須返回轉帳狀態，只有在特殊情況下才建議回退（revert）交易。

為了解決這個安全漏洞，Lido 表示 LDO 代幣整合指南很快就會更新。