Nhóm bảo mật SlowMist đã phát hiện ra lỗ hổng trong hợp đồng mã thông báo LDO. Khi xử lý các hoạt động chuyển khoản, nếu số tiền chuyển vượt quá số tiền nắm giữ thực tế của người dùng thì hoạt động đó sẽ không kích hoạt việc hoàn trả giao dịch. Thay vào đó, nó trực tiếp trả về kết quả xử lý là 'false'. Phương pháp xử lý này khác với nhiều hợp đồng mã thông báo tiêu chuẩn ERC20 phổ biến.
Do đặc điểm này nên tiềm ẩn nguy cơ 'gửi tiền giả'. Những kẻ tấn công độc hại có thể cố gắng khai thác tính năng này cho các hoạt động lừa đảo.
SlowMist gợi ý như sau:
1. Khi xử lý logic đến của mã thông báo, không chỉ dựa vào sự thành công hay thất bại của giao dịch. Thay vào đó, hãy đưa ra đánh giá dựa trên giá trị hoàn trả thực tế của hợp đồng mã thông báo.
2. Xin lưu ý rằng có nhiều hợp đồng mã thông báo tiêu chuẩn không phải ERC20 trên thị trường. Trước khi tích hợp mã thông báo mới, hãy hiểu và phân tích kỹ lưỡng mã hợp đồng của chúng để đảm bảo triển khai chính xác logic gửi tiền.
3. Nên tiến hành kiểm tra mã và kiểm tra bảo mật thường xuyên để đảm bảo tính mạnh mẽ và bảo mật của hệ thống.
Việc triển khai và hoạt động hợp đồng mã thông báo có thể khác nhau tùy theo dự án. Để đảm bảo an toàn cho tiền và tính chính xác của giao dịch, chúng tôi khuyên bạn nên hiểu kỹ logic hợp đồng và tiến hành thử nghiệm đầy đủ trước khi tích hợp bất kỳ mã thông báo mới nào.
