Lido Finance sospende i depositi a causa di una falla di sicurezza nel bridge ZKsync wstETH

Ethereum Il protocollo di staking liquidoe hainformato i suoi utenti di una potenziale debolezza di sicurezza nel suo contratto endpoint del bridge ZKsync wstETHtracaggiungendo che ha sospeso i nuovi depositi finché il problema non sarà risolto. 

La comunicazione, pubblicata su X da Lido Finance, affermava: "Al momento non vi è alcuna indicazione che la vulnerabilità sia stata sfruttata e i detentori di wstETH su ZKsync non sono interessati. Nessun altro bridge è stato coinvolto."

I prelievi da ZKsync e i trasferimenti di token non hanno subito ripercussioni. Ciononostante, la piattaforma ha agito tempestivamente, sospendendo i nuovi depositi di bridge per quella che ha definito "un eccesso di cautela".

In cosa consiste esattamente questa vulnerabilità e chi ne è interessato?

Lido non ha condiviso pubblicamente la natura tecnica del difetto, riferendosi solo a una "potenziale debolezza" segnalata neltracendpoint del bridge ZKsync wstETH, il livello deltracintelligente che facilita lo spostamento di ETH puntati e avvolti tra la rete principale Ethereum e la rete ZKsync Layer 2.

Lido ha integrato ZKsync come quinta implementazione Layer 2, sviluppata in collaborazione con Matter Labs e il team txSync per creare smart contract canonici per il bridging wstETHtracIl bridge ZKsync è entrato in funzione il 3 gennaio 2024, a seguito di una votazione sulla governance del DAO di Lido del mese precedente.

Lido dispone di un meccanismo multisig di emergenza che consente di disattivare depositi e prelievi sul lato ZKsync quando necessario, e in questo caso sembra che tale leva sia stata tirata.

Perché non è possibile implementare una soluzione senza il voto della governance?

Lido ha scritto: "È stata preparata una soluzione che verrà verificata e implementata tramite la prossima votazione omnibus sulla governance on-chain di Lido programmata (fine marzo/inizio aprile), dopo la quale i depositi riprenderanno"

Il ricorso a un voto di governance per l'implementazione della correzione riflette sia la struttura decentralizzata delle operazioni di Lido sia le garanzie procedurali integrate nel suo processo di aggiornamento. Tuttavia, per utenti e investitori, significa anche che la tempistica è soggetta ai meccanismi di coordinamento on-chain, una realtà che storicamente ha introdotto ritardi nei protocolli della finanza decentralizzata. Lido ha affermato che gli aggiornamenti sarebbero seguiti e che i depositi sarebbero ripresi una volta che la correzione fosse stata implementata.

L'annuncio non ha giovato alle sorti dei rispettivi token, con i mercati innervositi dalla prospettiva di una soluzione che non arriverà prima di fine marzo o forse inizio aprile.

Il token di governance nativo di Lido, LDO, ha perso oltre il 3,5% nelle ultime 24 ore, attestandosi a 0,3057 dollari. Anche ZK, il token nativo della rete madre di ZKsync, ha registrato un calo di oltre il 3,1% nello stesso periodo, raggiungendo quota 0,01863 dollari. Tuttavia, entrambi i token erano già in fase di ribasso prima dell'annuncio di Lido.

Il protocollo controlla circa un terzo di tutti gli ether in staking sulla rete Ethereum , rendendolo con un margine sostanziale il più grande operatore di staking. Qualsiasidentdi sicurezza, o anche la sola percezione di uno, comporta implicazioni sistemiche che vanno ben oltre la specifica integrazione di ZKsync.

Per ora, i possessori di wstETH esistenti su ZKsync possono trarre conforto dalle rassicurazioni di Lido, mentre i prelievi rimangono pienamente operativi.

Cryptopolitan ha riportato oggi che anche un altro progetto, Neutrontronun progetto BTCFi che offre Bitcoin rendimenti sui loro token in staking, ha sospeso alcuni servizi almeno fino al 9 marzo in seguito a un aggiornamento di sicurezza in cui si affermava che " un hacker etico aveva segnalato una vulnerabilità" nel suo codice.