Cuộc tấn công "gửi tiền giả" cho phép các thực thể xấu thực hiện một giao dịch trong đó giá trị yêu cầu lớn hơn số tiền người dùng thực sự sở hữu.
Giao thức đặt cược Ethereum Lido Finance đã đảm bảo rằng cả Lido DAO (LDO) và các token staked-Ether (stETH) vẫn an toàn mặc dù tin rằng các hacker đã khai thác một lỗ hổng bảo mật đã biết đến trong hợp đồng token LDO của Lido.
Lido chưa xác nhận bất kỳ cuộc khai thác nào, nhưng thừa nhận rằng lỗi bảo mật đã được biết đến và đảm bảo rằng tiền của LDO và stETH vẫn an toàn sau một bài viết vào ngày 10 tháng 9 của công ty bảo mật blockchain SlowMist.
SlowMist cho biết hợp đồng token lỗi của LDO cho phép những thực thể xấu thực hiện các cuộc tấn công "gửi tiền giả" trên các sàn giao dịch vì hợp đồng token của LDO cho phép người dùng thực hiện giao dịch ngay cả khi họ không có đủ tiền. Theo SlowMist, mã này không tuân thủ tiêu chuẩn mã thông báo yêu cầu Ethereum số 20 (ERC-20).
Tuy nhiên, Lido Finance cho rằng lỗ hổng này được tích hợp vào tất cả các token ERC-20 - không chỉ riêng token LDO của Lido:
SlowMist cho biết các cuộc tấn công "gửi tiền giả" đến từ hợp đồng token LDO của Lido thực hiện các giao dịch với giá trị lớn hơn số tiền thực sự người dùng sở hữu, gây ra một trạng thái trả về sai lệch thay vì hoàn nguyên giao dịch. Mặc dù công ty cho biết hợp đồng token Lido đã bị khai thác thông qua cuộc tấn công này, nhưng không cung cấp bằng chứng trên chuỗi.
Cointelegraph đã liên hệ với SlowMist để nhận được ý kiến nhưng chưa nhận được phản hồi ngay lập tức.
Trong khi đó, nhà phân tích trên chuỗi "Hercules" đã giải thích vào ngày 10 tháng 9 rằng lỗ hổng bảo mật có thể không được các sàn giao dịch tiền điện tử nhận biết.
SlowMist khuyến nghị các người nắm giữ LDO nên kiểm tra giá trị trả về của các giao dịch hợp đồng token bên cạnh việc giao dịch có thành công hay không.
Công ty bảo mật blockchain kết luận rằng việc triển khai và hành vi của hợp đồng token khác nhau tùy thuộc vào dự án và cần tiến hành kiểm tra toàn diện trước khi tích hợp bất kỳ token mới nào.
Để khắc phục lỗ hổng bảo mật, Lido đã xác nhận rằng hướng dẫn tích hợp token LDO sẽ sớm được cập nhật.
Nguồn:
tradecoind2.com
Giao thức đặt cược Ethereum Lido Finance đã đảm bảo rằng cả Lido DAO (LDO) và các token staked-Ether (stETH) vẫn an toàn mặc dù tin rằng các hacker đã khai thác một lỗ hổng bảo mật đã biết đến trong hợp đồng token LDO của Lido.
Lido chưa xác nhận bất kỳ cuộc khai thác nào, nhưng thừa nhận rằng lỗi bảo mật đã được biết đến và đảm bảo rằng tiền của LDO và stETH vẫn an toàn sau một bài viết vào ngày 10 tháng 9 của công ty bảo mật blockchain SlowMist.
SlowMist cho biết hợp đồng token lỗi của LDO cho phép những thực thể xấu thực hiện các cuộc tấn công "gửi tiền giả" trên các sàn giao dịch vì hợp đồng token của LDO cho phép người dùng thực hiện giao dịch ngay cả khi họ không có đủ tiền. Theo SlowMist, mã này không tuân thủ tiêu chuẩn mã thông báo yêu cầu Ethereum số 20 (ERC-20).
Tuy nhiên, Lido Finance cho rằng lỗ hổng này được tích hợp vào tất cả các token ERC-20 - không chỉ riêng token LDO của Lido:
SlowMist cho biết các cuộc tấn công "gửi tiền giả" đến từ hợp đồng token LDO của Lido thực hiện các giao dịch với giá trị lớn hơn số tiền thực sự người dùng sở hữu, gây ra một trạng thái trả về sai lệch thay vì hoàn nguyên giao dịch. Mặc dù công ty cho biết hợp đồng token Lido đã bị khai thác thông qua cuộc tấn công này, nhưng không cung cấp bằng chứng trên chuỗi.
Cointelegraph đã liên hệ với SlowMist để nhận được ý kiến nhưng chưa nhận được phản hồi ngay lập tức.
Trong khi đó, nhà phân tích trên chuỗi "Hercules" đã giải thích vào ngày 10 tháng 9 rằng lỗ hổng bảo mật có thể không được các sàn giao dịch tiền điện tử nhận biết.
SlowMist khuyến nghị các người nắm giữ LDO nên kiểm tra giá trị trả về của các giao dịch hợp đồng token bên cạnh việc giao dịch có thành công hay không.
Công ty bảo mật blockchain kết luận rằng việc triển khai và hành vi của hợp đồng token khác nhau tùy thuộc vào dự án và cần tiến hành kiểm tra toàn diện trước khi tích hợp bất kỳ token mới nào.
Để khắc phục lỗ hổng bảo mật, Lido đã xác nhận rằng hướng dẫn tích hợp token LDO sẽ sớm được cập nhật.
Nguồn:
Lido assures LDO, stETH tokens remain safe despite flaw in token contract - TRADECOIN D2 (BETA)
The “fake deposit” attack enables bad actors to execute a transfer where the requested value is larger than what the user actually owns.
tradecoind2.com
