اخبار بلاکچین

باگ امنیتی در قرارداد هوشمند لیدو؛ جریان از چه قرار است؟

شرکت امنیتی اسلومیست (SlowMist) روز گذشته در توییتی مدعی شد قرارداد هوشمند پروتکل لیدو مورد حمله اکسپلویت هکرها قرار گرفته و هکرها از باگ امنیتی موجود در این قرارداد برای اهداف خود سو‌‌ء استفاده کرده‌اند. در واکنش به این خبر تیم توسعه لیدو ضمن تکذیب حمله هکرها خاطرنشان کرد هر ۲ توکن لیدو دائو (Lido DAO) و استیکد اتر (stETH) در امنیت قرار دارند.

مقایسه قیمت صرافی‌های ایرانی

با میهن بلاکچین، بهترین قیمت خرید و فروش ارزهای دیجیتال رو پیدا کن!

مقایسه صرافی

به نقل از کوین تلگراف، پروتکل لیدو در واکنش به توییت شرکت اسلومیست اعلام کرد از این باگ امنیتی اطلاع داشته است و حمله اکسپلویت هکرها به قرارداد هوشمند توکن LDO را تکذیب کرد.

به گفته اسلومیست، باگ امنیتی موجود در قرارداد هوشمند توکن LDO امکان «واریز جعلی» به صرافی‌ها را برای هکرها فراهم می‌کند. بدین ترتیب، حتی اگر هکرها موجودی LDO کافی نداشته باشند می‌توانند تراکنش خود را انجام دهند. این شرکت امنیتی معتقد است این باگ از کد استاندارد توکن ERC-20 نشات گرفته است.

توییت اسلومیست
منبع: توییتر

تیم توسعه لیدو فایننس در واکنش به این ادعا خاطرنشان کرد این باگ در تمامی توکن‌های ERC-20 وجود دارد و تنها شامل توکن LDO نمی‌شود.

اسلومیست عنوان کرده بود حمله «واریز جعلی» با استفاده از قرارداد هوشمند توکن LDO انجام شده و طی آن مقدار توکنی بیش از آنچه در اختیار هکرها قرار دارد منتقل شده و به جای کنسل شدن تراکنش، صرفا یک مقدار False به عنوان خروجی قرارداد هوشمند بازگردانده شده است. علیرغم این ادعا، اسلومیست هیچ مدرک آنچینی برای انجام شدن این حمله اکسپلویت منتشر نکرده است.

در عین حال، هرکیولیس (Hercules)، تحلیلگر آنچین در توییتی خاطر نشان کرد این باگ امنیتی ممکن است توسط صرافی‌های ارز دیجیتال شناسایی نشود.

شرکت اسلومیست به هولدرهای لیدو توصیه می‌کند علاوه بر چک کردن وضعیت تراکنش، برای اطمینان از انجام شدن آن Return Value یا خروجی قرارداد هوشمند توکن را هم بررسی نمایند.

با این حال، لیدو در توییتی با اشاره به پروپوزال رسمی اتریوم که در سال ۲۰۱۵ توسط ویتالیک بوترین نوشته شده است، خاطرنشان کرد هر دو تابع «transfer» و «transferFrom» باید صرفا وضعیت تراکنش را به عنوان خروجی بازگردانند و تنها در موارد خاص می‌توانند تراکنش را کنسل کنند.

توییت لیدو
منبع: توییتر

تیم توسعه لیدو همچنین خاطرنشان کرد به منظور رفع این باگ امنیتی، راهنمای یکپارچه‌سازی توکن LDO به زودی آپدیت خواهد شد.

نوشته های مشابه

اشتراک
اطلاع از
0 دیدگاه
Inline Feedbacks
View all comments
دکمه بازگشت به بالا