گو پلاس: قرارداد جعلی ListaDAO با نام مشابه مورد حمله هکرها قرار گرفت، اما قرارداد رسمی ListaDAO تحت تأثیر قرار نگرفت.
در پاسخ به حمله اخیر به قرارداد "ListaDAOLiquidStakingVault"، ListaDAO رسماً بیانیهای منتشر کرد و در آن توضیح داد که قرارداد مورد حمله توسط تیم رسمی مستقر نشده، بلکه یک قرارداد جعلی است که توسط یک شخص ثالث تأیید نشده با نام مشابه ایجاد شده است. تمام قراردادهای رسمی ListaDAO تحت تأثیر این حادثه قرار نگرفتند.
طبق تحلیل عمیق تیم امنیتی GoPlus، این حمله در ۱۶ آوریل ۲۰۲۶ رخ داده و علت اصلی آن یک نقص منطق تجاری در قرارداد شخص ثالث بوده است. وقتی یک انتقال توکن انجام میشد، تابع Dividend.setShares() فعال میشد و حسابداری سهام را در قرارداد تغییر میداد، که به نوبه خود بر محاسبه پاداش در تابع claimReward() تأثیر میگذاشت. مهاجم از این آسیبپذیری برای تخلیه داراییهای موجود در قرارداد سوءاستفاده کرد.
گوپلاس یادآوری میکند که از آنجایی که این نقص منطقی در هر دو بخش کد قرارداد ذکر شده در بالا وجود دارد، هر پروژه توسعهای که از این کد انشعاب بگیرد یا از آن دوباره استفاده کند، با خطر بالای سوءاستفاده مواجه است. توصیه میشود توسعهدهندگان مربوطه فوراً بازرسیها و اصلاحات کد را انجام دهند و سازوکارهای حسابرسی مداوم را برای اطمینان از امنیت قراردادهای هوشمند پیادهسازی کنند.
