Theo Cointelegraph, giao thức staking Ethereum Lido Finance đã đảm bảo rằng cả token Lido DAO (LDO) và token Stakes-Ether (stETH) vẫn an toàn mặc dù bị hacker nắm bắt lỗ hổng bảo mật trong hợp đồng token LDO và khai thác chúng. Lido không xác nhận bất kỳ hành vi khai thác nào nhưng thừa nhận lỗ hổng bảo mật và trấn an rằng, các quỹ LDO và stETH vẫn an toàn, theo bài đăng ngày 10 tháng 9 của công ty bảo mật blockchain SlowMist.
SlowMist cho biết hợp đồng token thiếu sót của LDO cho phép các tác nhân xấu tạo điều kiện cho các cuộc tấn công “gửi tiền giả” trên các sàn giao dịch vì hợp đồng token của LDO cho phép người dùng thực hiện giao dịch ngay cả khi họ không có đủ tiền. Theo SlowMist, mã này khác với tiêu chuẩn token Ethereum Request for Comment 20 (ERC-20). Tuy nhiên, Lido Finance lập luận rằng lỗ hổng này được tích hợp trong tất cả các token ERC-20 – không chỉ token LDO của Lido.
SlowMist cho biết các cuộc tấn công “tiền gửi giả” xuất phát từ hợp đồng token của LDO thực hiện chuyển khoản trong đó giá trị lớn hơn những gì người dùng thực sự sở hữu, gây ra lợi nhuận sai trái ngược với việc hoàn nguyên giao dịch. Mặc dù công ty cho biết hợp đồng token của Lido gần đây đã bị khai thác thông qua cuộc tấn công này nhưng không có bằng chứng trực tuyến nào được cung cấp. Để giải quyết lỗ hổng bảo mật, Lido xác nhận hướng dẫn tích hợp token LDO sẽ sớm được cập nhật.