Il protocollo di staking liquido di Ethereum Lido Financ e ha informato i suoi utenti di una potenziale debolezza di sicurezza nel suo contratto endpoint del bridge ZKsync wstETH, aggiungendo di aver sospeso i nuovi depositi finché il problema non sarà risolto.
La comunicazione, pubblicata su X da Lido Finance, affermava: "Al momento, non vi è alcuna indicazione che la vulnerabilità sia stata sfruttata e i possessori di wstETH su ZKsync non sono interessati. Nessun altro bridge è interessato".
I prelievi da ZKsync e i trasferimenti di token sono stati descritti come inalterati. Ciononostante, la piattaforma si è mossa rapidamente, sospendendo i nuovi depositi ponte per quella che ha descritto come " un'eccessiva cautela".
In cosa consiste esattamente questa vulnerabilità e chi ne è interessato?
Lido non ha condiviso pubblicamente la natura tecnica del difetto, riferendosi solo a una "potenziale debolezza" segnalata nel contratto endpoint del bridge wstETH di ZKsync, il livello di contratto intelligente che facilita lo spostamento di ETH puntati e wrappati tra la rete principale di Ethereum e la rete ZKsync Layer 2.
Lido ha integrato ZKsync come quinta implementazione Layer 2, sviluppata in collaborazione con Matter Labs e il team txSync per creare smart contract canonici per il bridging wstETH. Il bridge ZKsync è entrato in funzione il 3 gennaio 2024, a seguito di una votazione sulla governance del DAO di Lido il mese precedente.
Lido dispone di un meccanismo multisig di emergenza che consente di disattivare depositi e prelievi sul lato ZKsync quando necessario, e in questo caso sembra che tale leva sia stata tirata.
Perché non è possibile implementare una soluzione senza il voto della governance?
Lido ha scritto: "È stata preparata una soluzione che verrà verificata e implementata tramite la prossima votazione omnibus sulla governance on-chain di Lido programmata (fine marzo/inizio aprile), dopo la quale i depositi riprenderanno".
Il ricorso a un voto di governance per l'implementazione della correzione riflette sia la struttura decentralizzata delle operazioni di Lido sia le garanzie procedurali integrate nel suo processo di aggiornamento. Tuttavia, per utenti e investitori, significa anche che la tempistica è soggetta ai meccanismi di coordinamento on-chain, una realtà che storicamente ha introdotto ritardi nei protocolli della finanza decentralizzata. Lido ha affermato che gli aggiornamenti sarebbero seguiti e che i depositi sarebbero ripresi una volta che la correzione fosse stata implementata.
L'annuncio non ha giovato alle sorti dei rispettivi token, con i mercati innervositi dalla prospettiva di una soluzione che non arriverà prima di fine marzo o forse inizio aprile.
Il token di governance nativo di Lido, LDO, è sceso di oltre il 3,5% nelle ultime 24 ore, attestandosi a 0,3057 dollari. Anche ZK, il token nativo della rete madre di ZKsync, è sceso di oltre il 3,1% , attestandosi a 0,01863 dollari nello stesso periodo. Tuttavia, entrambi i token erano già in calo prima dell'annuncio di Lido.
Il protocollo controlla circa un terzo di tutti gli ether in staking sulla rete Ethereum, rendendolo con un margine sostanziale il più grande operatore di staking. Qualsiasi incidente di sicurezza, o anche solo la percezione di uno, comporta implicazioni sistemiche che vanno ben oltre la specifica integrazione di ZKsync.
Per ora, i possessori di wstETH esistenti su ZKsync possono trarre conforto dalle rassicurazioni di Lido, mentre i prelievi rimangono pienamente operativi.
Cryptopolitan ha riferito oggi che un altro progetto, Neutron, un progetto BTCFi che offre ai possessori di Bitcoin rendimenti sui token puntati, ha anch'esso sospeso alcuni servizi almeno fino al 9 marzo dopo un aggiornamento di sicurezza in cui si affermava che " un whitehat ha segnalato una vulnerabilità" nel suo codice.
Iscriviti gratuitamente per 30 giorni a una community premium di trading di criptovalute , normalmente al costo di 100 $ al mese.