Lido Finance 主要節點運營商 InfStones，近期面臨一項安全問題。在 dWallet Labs 資安研究人員揭露的一個重大漏洞之後，該公司決定採取果斷措施：暫時撤回其以太坊驗證節點，並實施密鑰輪換 (rotate Lido ETH keys)，因應安全威脅。

1/5
Pertaining to our recent disclosure https://t.co/WFrGgMNiIe as a proactive measure out of an abundance of caution and safety, we have decided, with full support from @LidoFinance, to rotate Lido ETH keys voluntarily. This will not affect our regular services to our customers.

— InfStones Global (@InfStones) November 24, 2023

內容目錄

Lido 節點漏洞揭露與初步應對

開源庫 Tailon 中的隱患與解決方案

dWallet Labs 在 2023 年 7 月向 InfStones 警告開源代碼庫 Tailon 的漏洞，此漏洞已被迅速解決，也因此實施了一連串預防性的安全措施。

Lido Finance 是作為以太坊上最大的流動權益質押協議，管理價值超過 190 億美元的 ETH。用戶透過存入 ETH，參與由運營商網路管理的驗證節點中，獲得相應的衍生代幣。

(Lido stETH 如何提取 Q&A｜Lido 取款正式開放、stETH 提取預計1~2天)

Lido Finance 澄清：SAFU

積極確保用戶資產安全

Lido Finance 證實，該漏洞可能與根級訪問權限相關，影響了 InfStones 的 25 個驗證節點伺服器。儘管如此，Lido 強調，目前沒有密鑰泄露或濫用的跡象。為了進一步保障用戶資產的安全，dWallet Labs 建議對所有可能受漏洞影響的節點進行驗證密鑰輪換。

To clarify: There is currently no indication of key leakage or compromise, and the vulnerability may not affect validators related the Lido protocol.

— Lido (@LidoFinance) November 22, 2023

InfStones 的回應與後續行動

InfStones 已確保網路完整性

InfStones 指出受影響的系統僅占其整體基礎設施的一小部分，不足 0.1%。該公司已同意主動退出其驗證節點，並過渡到新的密鑰，待Lido Finance 的治理批准。此舉旨在確保以太坊網路的持續穩定運作，並保障用戶資產的安全。