La société de sécurité des crypto-monnaies SlowMist a récemment émis un avertissement concernant une faille de sécurité dans le contrat de jeton LDO, que les pirates ont exploité pour mener des attaques frauduleuses sur les dépôts sur les bourses. Le défaut réside dans la non-conformité du contrat à la norme ERC20, qui stipule généralement qu'une opération de transfert sera annulée si l'expéditeur ne dispose pas de fonds suffisants. Au lieu de cela, le contrat de token LDO renvoie simplement un « faux » résultat, permettant aux acteurs malveillants de transférer plus de tokens qu’ils n’en possèdent réellement.
L'avertissement de SlowMist a été corroboré par un tweet décrivant le problème opérationnel dans le contrat de jeton LDO. Le tweet souligne que lorsque le contrat exécute une opération de transfert d'un montant supérieur à la disponibilité réelle de l'utilisateur, le rollback habituel de la transaction n'est pas activé. Au lieu de cela, il renvoie simplement « faux », incitant ainsi les échanges à créditer un faux montant sur le compte de l'utilisateur. Cela permet à l'utilisateur de retirer des jetons supplémentaires de l'échange en utilisant un solde incorrect.
Actions recommandées pour le trading
SlowMist a décrit plusieurs mesures de précaution pour les échanges et les plateformes intégrant des jetons LDO afin d'atténuer les risques associés à cette faille. Premièrement, la société a souligné l’importance de vérifier non seulement le succès ou l’échec de la transaction, mais également la valeur de retour du contrat symbolique lors des dépôts symboliques. Ce niveau de vérification supplémentaire peut servir de protection contre les dépôts frauduleux.
Deuxièmement, SlowMist recommande de réaliser une analyse complète du code de votre contrat de token avant d'intégrer de nouveaux tokens, notamment ceux qui ne sont pas conformes à la norme ERC20. Cette étape est essentielle pour comprendre les nuances et les vulnérabilités potentielles de chaque contrat de token.
Enfin, la société de sécurité recommande des audits de code et des contrôles de sécurité réguliers pour garantir la robustesse et la sécurité du système. Ces audits peuvent identifier les faiblesses potentielles et offrir la possibilité d’y remédier rapidement.
L’exploitation de cette faille de sécurité soulève des questions plus larges sur la robustesse des contrats symboliques et le respect des normes de l’industrie. Avec la complexité et la variété croissantes des contrats symboliques, le risque que des vulnérabilités similaires apparaissent est élevé. L'avertissement de SlowMist sert de rappel opportun aux bourses et autres plateformes pour qu'elles fassent preuve de diligence raisonnable et prennent des mesures de sécurité strictes.