Lido ha tranquilizado a sus usuarios de que los tokens de Lido DAO y los tokens de Ether stakeados siguen siendo seguros a pesar de que los hackers explotaron una vulnerabilidad de seguridad conocida. Sin embargo, la plataforma no ha confirmado el exploit, pero ha reconocido que la vulnerabilidad de seguridad ya era conocida y ha tranquilizado a los usuarios de que los tokens siguen siendo seguros, según una publicación de la empresa de seguridad blockchain SlowMist.
This behaviour is expected and conforms to the ERC20 token standard (see tweet below). Both LDO and stETH (and Lido governance) remain safe.
Lido token integration guides will be updated with LDO specifics to make this more visible shortly.
— Lido (@LidoFinance) September 10, 2023
SlowMist destacó que el token LDO tiene un contrato defectuoso y permite a los actores malintencionados iniciar ataques de depósito falsos en las exchanges porque el contrato inteligente del token permite a los usuarios realizar transacciones incluso si tienen pocos fondos. SlowMist también afirmó que este código se desvía del estándar de token ERC-20.
La Vulnerabilidad De Seguridad De Lido Y El Rendimiento Del Token LDO
Lido Finance argumentó que la vulnerabilidad está presente en todos los tokens ERC-20, no solo en los tokens LDO. El ataque de depósito falso se produjo porque el token contract de LDO ejecutaba transferencias donde el valor era significativamente mayor que el que alguien poseía, lo que provocaba un falso retorno en lugar de revertir completamente la transacción. La empresa de seguridad blockchain destacó que el contrato del token fue explotado recientemente en medio de este hackeo, pero no se proporcionó ninguna evidencia on-chain al respecto.
Tras el exploit, el token nativo de la plataforma, LDO, se vio trading en rojo. En el momento de escribir este artículo, el token ha caído casi un 2,56% en el transcurso de las últimas 24 horas. La caída ha empujado el precio de trading a casi $1,49 y la capitalización de mercado total del token se encuentra actualmente en la marca de $1.300 millones.
Se Espera Que Lido Fortalezca Su Seguridad General
Tras la explotación de la vulnerabilidad de seguridad, la empresa de análisis on-chain Hercules explicó que es muy poco probable que la vulnerabilidad sea detectada por otras exchanges de criptomonedas. SlowMist ha sugerido que Lido revise los valores de retorno de las transferencias del token contract, así como la evaluación del éxito o el fracaso de una transacción. La empresa de seguridad blockchain concluyó que la implementación y el comportamiento del contrato del token difieren según el proyecto y que es necesario realizar pruebas exhaustivas antes de la integración de nuevos tokens.
Lido ha destacado el documento de Propuesta de Mejora de Ethereum (EIP) oficial y ha explicado que las funciones de transferencia y FormTransfer deben devolver el estado de la transferencia comun. Solo se recomiendan para revertir una transacción en casos excepcionales. Con la esperanza de resolver el problema, Lido ha confirmado que las guías de integración de tokens LDO se actualizarán pronto.