Un reciente tipo de ataque denominado «depósito falso» ha salido a la luz, permitiendo a actores malintencionados realizar transferencias en las que el monto solicitado excede el saldo real del usuario. Esta vulnerabilidad, que afecta a ciertos contratos de tokens, ha sido motivo de preocupación en la comunidad criptográfica. Lido Finance ha recibido acusaciones de que su token Lido DAO podría ser susceptible a este tipo de ataque.
Lido Finance Refuerza la Confianza en sus Tokens LDO y stETH
Lido Finance, un prominente protocolo de staking de Ethereum, ha enfrentado recientemente acusaciones de que su token Lido DAO (LDO) podría ser susceptible a este tipo de ataque. Sin embargo, la firma ha reiterado que tanto LDO como staked-Ether (stETH) continúan siendo seguros. Esta declaración surge a raíz de un informe publicado el 10 de septiembre por SlowMist, una empresa especializada en seguridad blockchain. En el que se señalaba una presunta vulnerabilidad en el contrato de LDO.
Detalles de la Vulnerabilidad
Según SlowMist, el contrato defectuoso de LDO podría permitir a los atacantes llevar a cabo ataques de «depósito falso» en diferentes exchanges. Esto se debe a que dicho contrato permite a los usuarios realizar transacciones sin contar con los fondos necesarios. Además, SlowMist señaló que este comportamiento se desvía del estándar ERC-20 de Ethereum.
Lido Finance, por su parte, ha refutado esta afirmación, argumentando que esta vulnerabilidad es inherente a todos los tokens ERC-20 y no es exclusiva del token LDO.
Reacciones y Análisis
A pesar de las afirmaciones de SlowMist sobre la explotación reciente del contrato de LDO mediante el ataque de «depósito falso», no se ha proporcionado evidencia concreta que respalde esta acusación.
El analista «Hercules» señaló que esta vulnerabilidad podría pasar desapercibida por muchos exchanges de criptomonedas. Por su parte, SlowMist ha instado a los poseedores de LDO a verificar no solo el resultado de una transacción, sino también los valores de retorno de las transferencias del contrato del token.
Hacia una Solución
Lido Finance ha citado un documento oficial de Propuesta de Mejora de Ethereum. Coescrito por Vitalik Buterin en 2015, que establece que las funciones «transfer» y «transferFrom» deben reflejar el estado real de una transferencia. Y que revertir una transacción solo debe hacerse en circunstancias excepcionales.
Como medida proactiva, Lido ha anunciado que las guías de integración para el token LDO serán actualizadas próximamente. Con el objetivo de abordar y rectificar esta vulnerabilidad de seguridad.
