Zespół ds. bezpieczeństwa SlowMist odkrył lukę w umowie dotyczącej tokena LDO. Podczas przetwarzania operacji przelewu, jeśli kwota przelewu przekracza faktyczne stany posiadania użytkownika, operacja nie powoduje wycofania transakcji. Zamiast tego bezpośrednio zwraca wartość „false” jako wynik przetwarzania. Ta metoda obsługi różni się od wielu popularnych umów na tokeny w standardzie ERC20.
Ze względu na tę cechę istnieje potencjalne ryzyko „fałszywego depozytu”. Złośliwi napastnicy mogą próbować wykorzystać tę funkcję do oszukańczych działań.
SlowMist sugeruje, co następuje:
1. Przetwarzając logikę nadejścia tokenu, nie polegaj wyłącznie na powodzeniu lub niepowodzeniu transakcji. Zamiast tego osądzaj na podstawie rzeczywistej wartości zwrotu kontraktu tokenowego.
2. Należy pamiętać, że na rynku dostępnych jest wiele umów na tokeny inne niż ERC20. Przed integracją nowych tokenów dokładnie poznaj i przeanalizuj ich kod kontraktu, aby zapewnić poprawną implementację logiki depozytu.
3. Zaleca się przeprowadzanie regularnych audytów kodu i kontroli bezpieczeństwa w celu zapewnienia solidności i bezpieczeństwa systemu.
Wdrożenie i zachowanie umowy tokenowej może się różnić w zależności od projektu. Aby zapewnić bezpieczeństwo środków i dokładność transakcji, zdecydowanie zaleca się dokładne zrozumienie logiki kontraktu i przeprowadzenie wystarczających testów przed integracją jakichkolwiek nowych tokenów.
