По данным Cointelegraph, протокол ставок Ethereum Lido Finance заверил, что токены Lido DAO (LDO) и стейкинг-эфира (stETH) остаются в безопасности, несмотря на то, что хакеры предположительно используют известный недостаток безопасности в контракте токенов LDO. Лидо не подтвердил никаких эксплойтов, но признал недостаток безопасности и заверил, что средства LDO и stETH остаются в безопасности в ответ на сообщение от 10 сентября компании SlowMist, занимающейся безопасностью блокчейнов.
В SlowMist заявили, что дефектный контракт токена LDO позволяет злоумышленникам способствовать атакам «поддельных депозитов» на биржи, поскольку контракт токена LDO позволяет пользователям выполнять транзакции даже там, где у них недостаточно средств. По данным SlowMist, этот код отличается от стандарта токена Ethereum Request for Comment 20 (ERC-20). Однако Lido Finance утверждает, что этот недостаток встроен во все токены ERC-20, а не только в токен LDO Lido.
В SlowMist заявили, что атаки «поддельного депозита» произошли из-за контракта токенов LDO, выполняющего переводы, стоимость которых превышает то, чем на самом деле владеет пользователь, что приводит к ложному возврату, а не к отмене транзакции. Хотя фирма заявила, что контракт токенов Lido недавно был использован в ходе этой атаки, никаких доказательств в цепочке предоставлено не было. Чтобы устранить проблему безопасности, Лидо подтвердил, что руководства по интеграции токенов LDO скоро будут обновлены.
