Щойно я отримав важливе повідомлення про безпеку, яке варто врахувати. GoPlus Security опублікувала аналіз критичної уразливості у контракті Liquid Staking Vault ListaDAO, що призвела до значних крадіжок коштів. Те, що трапилося тут, досить цікаво з технічної точки зору — зловмисник використав помилку бізнес-логіки, активуючи функції розрахунку частки під час переказу токенів, що потім порушило механізм отримання нагород у стейкінг-вайлеті. В основному, уразливість полягає у тому, як контракт Dividend обробляє розрахунки, коли операції майже стейкінгу взаємодіють із ядром логіки в vault.

Що особливо тривожно, так це те, що це не лише проблема ListaDAO. GoPlus Security зазначила, що така сама логічна уразливість існує і в контрактах Liquid Staking Vault та Dividend, що означає, що будь-які форковані реалізації або проекти, що використовують цей код, знаходяться на часовій бомбі. Ми вже бачили подібні сценарії раніше, коли одна уразливість поширюється на кілька протоколів майже стейкінгу.

Команда безпеки фактично каже, що розробники та проекти мають терміново переглянути та виправити цю проблему. І чесно кажучи, це міцне нагадування, що безпека смарт-контрактів не може бути одноразовою перевіркою. Один аудит недостатній. Інфраструктура майже стейкінгу особливо потребує постійного моніторингу та переоцінки, оскільки умови ринку та вектори атак змінюються. Простір майже стейкінгу так швидко зростає, що багато проектів поспішно впроваджують рішення без належних рамок безпеки.

Для тих, хто створює або аудить рішення для майже стейкінгу, це сигнал до пробудження. Ці логічні уразливості тонкі — вони не проявляються під час базових оглядів коду. Потрібен глибокий аналіз протоколу та стрес-тестування. Якщо ви залучені до будь-яких проектів vault для майже стейкінгу, я настійно рекомендую провести детальний аудит безпеки прямо зараз, а не чекати наступної експлуатації, щоб вона з’явилася у новинах.