A empresa de segurança de criptomoedas SlowMist emitiu um alerta sobre uma falha encontrada no contrato do token LDO. Esta vulnerabilidade tem sido explorada por hackers para efetuar golpes em exchanges de criptomoedas.
Segundo a informação fornecida pela SlowMist, o contrato do LDO diverge do padrão denominado ERC20. Este padrão determina que uma transferência deve ser automaticamente devolvida caso o remetente não detenha fundos suficientes.
Contudo, no caso do LDO, se essa situação ocorrer, o sistema retorna simplesmente um resultado “falso”, não ativando a necessária reversão de transação no contrato do token.
Esta particularidade habilita um cenário perigoso: um ator mal-intencionado tem a possibilidade de transferir um número de tokens LDO superior ao que realmente possui para uma exchange. Por sua vez, a plataforma, não identificando o erro, pode acabar creditando ao usuário um montante fictício. Este, posteriormente, tem a oportunidade de efetuar saques na exchange utilizando o saldo incorreto.
Para prevenir a ocorrência de tais ataques, a SlowMist propôs uma série de medidas que devem ser adotadas por exchanges e quaisquer outras plataformas que tenham tokens LDO integrados. Dentre as recomendações estão:
- Durante depósitos de tokens, não apenas verificar o êxito ou a falha das transações, mas também os retornos dos contratos de token;
- Executar uma análise detalhada do código do contrato do token antes de proceder a qualquer integração de novos tokens, em especial os que não seguem o padrão ERC20;
- Efetuar auditorias periódicas de código e inspeções de segurança para assegurar a solidez e a segurança do sistema.