Команда безопасности SlowMist обнаружила уязвимость в контракте токена LDO. Если при обработке операций перевода сумма перевода превышает фактические средства пользователя, операция не вызывает откат транзакции. Вместо этого он напрямую возвращает «ложь» в качестве результата обработки. Этот метод обработки отличается от многих распространенных контрактов токенов стандарта ERC20.
Из-за этой характеристики существует потенциальный риск «поддельного депозита». Злоумышленники могут попытаться использовать эту функцию для мошеннических действий.
SlowMist предлагает следующее:
1. При обработке логики поступления токена не полагайтесь исключительно на успех или неудачу транзакции. Вместо этого принимайте суждения на основе фактической возвращаемой стоимости контракта токена.
2. Имейте в виду, что на рынке существует множество контрактов токенов, не соответствующих стандарту ERC20. Прежде чем интегрировать новые токены, тщательно поймите и проанализируйте их код контракта, чтобы обеспечить правильную реализацию логики депозита.
3. Рекомендуется проводить регулярный аудит кода и проверки безопасности, чтобы обеспечить надежность и безопасность системы.
Реализация и поведение контракта токена могут различаться в зависимости от проекта. Чтобы обеспечить безопасность средств и точность транзакций, настоятельно рекомендуется тщательно понять логику контракта и провести достаточное тестирование перед интеграцией каких-либо новых токенов.
