Il team di sicurezza di SlowMist ha scoperto una vulnerabilità nel contratto del token LDO. Durante l'elaborazione delle operazioni di trasferimento, se l'importo del trasferimento supera le disponibilità effettive dell'utente, l'operazione non attiva il rollback della transazione. Invece, restituisce direttamente un "false" come risultato dell'elaborazione. Questo metodo di gestione è diverso da molti contratti token standard ERC20 comuni.
A causa di questa caratteristica, esiste il rischio potenziale di "deposito falso". Gli aggressori malintenzionati potrebbero tentare di sfruttare questa funzionalità per attività fraudolente.
SlowMist suggerisce quanto segue:
1. Quando si elabora la logica di arrivo del token, non fare affidamento esclusivamente sul successo o sul fallimento della transazione. Invece, esprimi giudizi in base al valore di ritorno effettivo del contratto token.
2. Tieni presente che sul mercato sono presenti molti contratti token standard non ERC20. Prima di integrare nuovi token, comprendere e analizzare a fondo il loro codice contrattuale per garantire la corretta implementazione della logica di deposito.
3. Si raccomanda di condurre regolari audit del codice e controlli di sicurezza per garantire la robustezza e la sicurezza del sistema.
L'implementazione e il comportamento del contratto token possono variare in base al progetto. Per garantire la sicurezza dei fondi e l'accuratezza delle transazioni, si consiglia vivamente di comprendere a fondo la logica del contratto e di condurre test sufficienti prima di integrare eventuali nuovi token.
