Только что получил важное уведомление о безопасности, на которое стоит обратить внимание. GoPlus Security опубликовала анализ критической уязвимости в контракте Liquid Staking Vault ListaDAO, которая привела к значительной краже средств. То, что произошло, с технической точки зрения довольно интересно — злоумышленник использовал ошибку бизнес-логики, активируя функции расчета долей во время переводов токенов, что затем нарушило механизм получения наград в стейкинг-ваулте. В основном, уязвимость заключается в том, как контракт Dividend обрабатывает вычисления, когда операции с близким стейкингом взаимодействуют с основной логикой ваулта.

Что особенно тревожно, так это то, что это не только проблема ListaDAO. GoPlus Security отметила, что такая же логическая уязвимость присутствует как в Liquid Staking Vault, так и в контракте Dividend, что означает, что любые форкнутые реализации или проекты, использующие этот код, находятся на временной бомбе. Мы уже видели подобные схемы, когда одна уязвимость распространяется на несколько протоколов близкого стейкинга.

Команда по безопасности в основном говорит, что разработчикам и проектам нужно срочно пересмотреть и исправить это. И честно говоря, это хорошее напоминание о том, что безопасность смарт-контрактов не может быть однократной проверкой. Одного аудита недостаточно. Инфраструктура близкого стейкинга особенно требует постоянного мониторинга и переоценки по мере развития рыночных условий и новых методов атак. Пространство близкого стейкинга растет так быстро, что многие проекты торопятся с реализациями без должных рамок безопасности.

Для тех, кто занимается созданием или аудитом решений для близкого стейкинга, это сигнал к пробуждению. Эти логические уязвимости тонки — они не проявляются при простых проверках кода. Требуется глубокий анализ протокола и стресс-тестирование. Если вы участвуете в проектах с ваултами для стейкинга, я настоятельно рекомендую провести тщательный аудит безопасности прямо сейчас, а не ждать следующей утечки в новостях.