Baru saja mendapatkan peringatan keamanan penting yang layak diperhatikan. GoPlus Security merilis analisis tentang kerentanan kritis dalam kontrak Liquid Staking Vault ListaDAO yang menyebabkan pencurian dana yang signifikan. Apa yang terjadi di sini cukup menarik dari sudut pandang teknis - penyerang memanfaatkan celah logika bisnis dengan memicu fungsi perhitungan saham selama transfer token, yang kemudian mengganggu mekanisme klaim hadiah di vault staking. Pada dasarnya, kerentanan ini terletak pada bagaimana kontrak Dividend menangani perhitungan saat operasi staking mendekati berinteraksi dengan logika inti vault.

Yang membuat ini menjadi perhatian khusus adalah bahwa ini bukan hanya masalah ListaDAO. GoPlus Security menandai bahwa kerentanan logika yang sama ada di kedua kontrak Liquid Staking Vault dan Dividend, yang berarti setiap implementasi fork atau proyek yang menggunakan kode ini sedang menunggu bom waktu. Kita telah melihat pola serupa sebelumnya di mana satu kerentanan menyebar ke beberapa protokol staking dekat.

Tim keamanan secara dasar mengatakan bahwa pengembang dan proyek perlu segera meninjau dan memperbaiki ini. Dan jujur saja, ini adalah pengingat yang kuat bahwa keamanan kontrak pintar tidak bisa hanya dilakukan sekali saja. Audit tunggal tidak cukup. Infrastruktur staking dekat terutama membutuhkan pemantauan dan evaluasi berkelanjutan seiring kondisi pasar dan vektor serangan yang terus berkembang. Ruang staking dekat telah tumbuh begitu cepat sehingga banyak proyek terburu-buru dalam implementasi tanpa kerangka keamanan yang memadai.

Bagi siapa saja yang membangun atau mengaudit solusi staking dekat, ini adalah panggilan bangun. Kerentanan logika ini halus - mereka tidak muncul dalam review kode dasar. Anda membutuhkan analisis protokol mendalam dan pengujian stres. Jika Anda terlibat dalam proyek vault staking apa pun, saya sangat menyarankan melakukan audit keamanan menyeluruh sekarang juga daripada menunggu eksploit berikutnya muncul di berita.