La società di sicurezza di criptovaluta SlowMist ha recentemente emesso un avviso su una falla di sicurezza nel contratto dei token LDO, che gli hacker hanno sfruttato per condurre attacchi fraudolenti sui depositi sugli scambi. Il difetto risiede nella non conformità del contratto con lo standard ERC20, che in genere impone che una transazione di trasferimento venga annullata se il mittente non dispone di fondi sufficienti. Invece, il contratto token LDO restituisce semplicemente un risultato “falso”, consentendo agli attori malintenzionati di trasferire più token di quelli che effettivamente possiedono.
L'allarme di SlowMist è stato corroborato da un tweet che delineava il problema operativo nel contratto del token LDO. Il tweet sottolinea che quando il contratto esegue un'operazione di trasferimento con una quantità superiore alle disponibilità effettive dell'utente, non si attiva il consueto rollback della transazione. Invece, restituisce semplicemente "false", inducendo così gli scambi ad accreditare un importo falso sul conto dell'utente. Ciò consente all'utente di prelevare altri token dall'exchange utilizzando il saldo errato.
Azioni consigliate per gli scambi
SlowMist ha delineato diverse misure precauzionali per gli scambi e le piattaforme che integrano i token LDO per mitigare i rischi associati a questo difetto. In primo luogo, l'azienda ha affermato l'importanza di verificare non solo il successo o il fallimento della transazione, ma anche il valore di ritorno del contratto token quando si eseguono depositi token. Questo ulteriore livello di verifica può fungere da salvaguardia contro i depositi fraudolenti.
In secondo luogo, SlowMist consiglia di condurre un’analisi completa del codice contrattuale dei token prima di integrare nuovi token, in particolare quelli che non sono conformi allo standard ERC20. Questo passaggio è fondamentale per comprendere le sfumature e le potenziali vulnerabilità di ciascun contratto token.
Infine, l’azienda di sicurezza consiglia regolari audit del codice e controlli di sicurezza per garantire la robustezza e la sicurezza del sistema. Questi audit possono identificare potenziali punti deboli e offrire l’opportunità di porre rimedio tempestivamente.
Lo sfruttamento di questa falla di sicurezza solleva questioni più ampie sulla robustezza dei contratti token e sull’aderenza agli standard di settore. Con la crescente complessità e varietà dei contratti token, il rischio che emergano vulnerabilità simili è elevato. L'avviso di SlowMist funge da promemoria tempestivo per gli scambi e altre piattaforme affinché esercitino la dovuta diligenza e adottino rigorose misure di sicurezza.