Relevé par The Block, l'un des principaux opérateurs de noeuds de Lido Finance, InfStones retirera temporairement ses validateurs Ethereum du protocole de liquid staking et mettra en place des rotations de clés en réponse à une vulnérabilité significative révélée par des chercheurs en sécurité de dWallet Labs.
La vulnérabilité, liée à la bibliothèque open-source Tailon, a été signalée à InfStones en juillet 2023 et a depuis été résolue. Néanmoins, cet événement a conduit à l'adoption de mesures de sécurité préventives.
Lido Finance a confirmé que la vulnérabilité était liée à un potentiel d'accès de niveau racine qui a affecté 25 des serveurs validateurs d'InfStones. Lido a toutefois précisé qu'il n'y a pas de preuve de fuite de clé ou d'exploitation résultant de ce problème.
"Pour clarifier : Il n'y a actuellement aucune indication de fuite de clé ou de compromission, et la vulnérabilité pourrait ne pas affecter les validateurs liés au protocole Lido", a-t-il déclaré.
Dans son rapport de sécurité, dWallet Labs a allégué que la vulnérabilité aurait pu potentiellement déclencher une violation de sécurité affectant les ETH mis en jeu à travers les noeuds d'InfStones sur Lido. En conséquence, la firme a recommandé la rotation des clés de validateur pour tous les noeuds qui étaient potentiellement exposés à la vulnérabilité.
InfStones a déclaré que le problème signalé par dWallet n'a affecté qu'une petite partie de son infrastructure, avec moins de 0,1% de ses systèmes via un port réseau spécifique sur son réseau qui présentait le problème. Par conséquent, cela implique que le nombre de noeuds validateurs affectés était faible.