افشای یک نقص امنیتی در پلتفرم استیکینگ اتریوم؛ دارایی کاربران در خطر است؟
لیدو فایننس (Lido Finance)، پروتکل استیکینگ اتریوم، به کاربران اطمینان داده است که علیرغم انتشار گزارشهایی مبنی بر وجود نقص امنیتی شناختهشده در قرارداد توکن LDO، هر دو توکن لیدو دائو (LDO) و stETH ایمن هستند.
در حالی که لیدو فایننس هیچ سوءاستفادهای را تأیید نکرد، اما نقص امنیتی رخداده را پذیرفت که توسط شرکت امنیتی بلاکچین SlowMist برجسته شده بود.
به گزارش SlowMist، قرارداد توکن معیوب لیدو دائو میتواند حملات واریز جعلی (Fake Deposit) را در صرافیها فعال کند؛ زیرا به کاربران اجازه میدهد حتی زمانی که بودجه کافی ندارند، تراکنشها را انجام دهند.
شروع کن
بد نیست بدانید که حملات واریز جعلی به نوعی از حمله سایبری اشاره دارد که در آن، بازیگران مخرب تلاش میکنند تا سیستمی مانند یک صرافی ارزهای دیجیتال را دستکاری کنند تا به نظر برسد که گویی مقدار مشخصی از وجوه را واریز کردهاند؛ در حالی که در واقعیت چنین نیست.
این حملات می تواند شامل سوءاستفاده از آسیبپذیریها یا نقصهای یک سیستم برای فریب دادن آن به پذیرش واریز جعلی باشد. با این حال، لیدو فایننس استدلال کرد که این نقص در تمام توکنهای ERC-20 وجود دارد؛ و نه فقط لیدو دائو.
شرکت SlowMist اعلام کرد که حملات واریز جعلی با استفاده از قرارداد توکن لیدو دائو اجرا شده، اما هیچ مدرکی در زنجیره ارائه نشده است. لیدو فایننس توصیه میکند که دارندگان LDO علاوه بر موفقیت یا ناتوانی در تراکنشها، ارزش بازگشتی انتقالات قرارداد توکن را نیز بررسی کنند.
برای رفع نقص امنیتی، لیدو فایننس تأیید کرد که راهنمای یکپارچهسازی LDO را بهروزرسانی خواهد کرد. این رویداد اهمیت انجام آزمایشهای جامع و بررسی دقیق قبل از ادغام توکنهای جدید در پروژهها را برجسته میکند؛ زیرا پیادهسازی و رفتار قرارداد توکن میتواند از پروژهای به پروژه دیگر متفاوت باشد.