Dmitri Tsumak, cofundador de Stake Wise, ha descubierto una vulnerabilidad en los protocolos Rocket Pool y Lido que podría conducir al robo de fondos de los usuarios.
Rocket Pool y Lido Finance han confirmado la información. El primero ha retrasado su lanzamiento, previsto para el 6 de octubre, mientras que el segundo equipo ha dicho que alrededor de 20.000 ethers (aproximadamente 71,5 millones $) estaban en riesgo.
Lido Finance había dicho en un principio que las pérdidas potenciales no superarían los 100 ETH. Los desarrolladores han declarado:
"Se ha presentado una vulnerabilidad crítica para su consideración en el programa de recompensas de Lido. Actualmente, el daño potencial es pequeño (menos de 100 ETH), así como el riesgo de problemas, ya que la vulnerabilidad solo puede ser explotada por operadores de nodos incluidos en la lista blanca".
Lido Finance ha destacado que los operadores de nodos son "empresas respetables y éticas" que probablemente no aprovecharán la vulnerabilidad. Sin embargo, para mitigar el riesgo, los límites de participación para estos participantes será limitada de forma temporal.
Rocket Pool ha anunciado que empezará a probar un método de mitigación propuesto la semana que viene.
Los dos proyectos han asignado la recompensa máxima permitida por detectar un error (100.000 $) en el servicio Immunefi, lo que indica su gravedad.
La vulnerabilidad en cuestión permite que un validador u operador de nodo se apropie de los fondos de los usuarios. La comunidad se dio cuenta del posible problema en noviembre de 2019.
"La presencia de una vulnerabilidad en el código base es una omisión a largo plazo", ha admitido Lido.