TechFlow — Lido a publié un tweet officiel indiquant que, durant les dernières 24 heures, des contributeurs du DAO Lido ont découvert une vulnérabilité affectant l'opérateur de nœuds actifs (InfStones) de Lido sur Ethereum, exploitée à certaines périodes au cours des derniers mois. Cette vulnérabilité avait été signalée en juillet 2023 par le chercheur en sécurité dWallet Labs à InfStones.
L'opérateur de nœuds a annoncé que le problème a été résolu. La faille pouvait potentiellement exposer un accès racine à 25 serveurs de validation à des attaquants externes, éventuellement non liés au protocole Lido, y compris à des éléments critiques. Il n'est pas clair si les serveurs et/ou clés associés aux validateurs de Lido étaient inclus dans la portée des systèmes affectés. Aucune fuite de clés n'a été détectée à ce stade, mais par mesure de précaution, InfStones a volontairement retiré tous ses validateurs et effectué un changement de clés, en attendant un vote du DAO. Tous les ETH provenant des validateurs désactivés seront transférés via le processus de retrait vers le protocole Lido, puis re-stakés sur des clés disponibles dans le buffer.




