TLDR
Loopring, protokol ZK rollup založený na Ethereu, utrpěl porušení zabezpečení související s jeho službou dvoufaktorové autentizace (2FA) „Guardian“ pro jeho chytré peněženky.
Hacker kompromitoval službu 2FA společnosti Loopring, což jim umožnilo vydávat se za vlastníky peněženek a iniciovat neoprávněné obnovení peněženek pouze s oficiálním strážcem Loopring.
Podle údajů blockchainu byly z postižených peněženek odčerpány tokeny v hodnotě přibližně 5 milionů dolarů.
Loopring dočasně pozastavil operace související s Guardianem a 2FA a spolupracuje s bezpečnostními experty a orgány činnými v trestním řízení na vyšetření narušení.
Loopring, protokol ZK rollup založený na Ethereu známý pro své samozvané „nejbezpečnější peněženky“, se stal obětí narušení bezpečnosti, které mělo za následek ztrátu přibližně 5 milionů dolarů v uživatelských prostředcích.
Incident, ke kterému došlo 9. června 2024, vyvolal obavy o bezpečnost chytrých peněženek a potenciální zranitelnosti spojené s nově vznikajícími technologiemi v prostoru decentralizovaných financí (DeFi).
Podle Loopringova oznámení byl útok zaměřen na službu dvoufaktorové autentizace (2FA) protokolu ‚Guardian‘, která uživatelům umožňuje nominovat důvěryhodné peněženky na pomoc při bezpečnostních operacích, jako je zamykání kompromitovaných peněženek nebo obnovení přístupu v případě ztráty výchozích frází.
????Incident Alert: Looping Smart Wallets Compromed????
Před několika hodinami byly některé chytré peněženky Loopring zaměřeny na porušení zabezpečení. Útok zneužil peněženky pouze s jedním Guardianem, konkrétně Loopring Official Guardian. Hacker zahájil proces obnovy,… pic.twitter.com/Y9mYC4j9QJ
— Looping???? (@loopringorg) 9. června 2024
Hackerovi se podařilo obejít službu Loopring's Official Guardian a iniciovat neoprávněné obnovy na peněženkách, které měly nastaveného pouze jednoho opatrovníka, bez svolení uživatelů.
Data blockchainu odhalují, že útočníkova peněženka dokázala z postižených peněženek vysát tokeny v hodnotě přibližně 5 milionů dolarů.
Loopring uvedl, že peněženky s více strážci nebo ty, které používají jiného strážce třetí strany, byly chráněny před zneužitím.
V reakci na narušení společnost Loopring dočasně pozastavila operace související s Guardianem a 2FA, aby zabránila dalším kompromisům.
Protokol aktivně spolupracuje s blockchainovou bezpečnostní firmou SlowMist a dalšími bezpečnostními experty, aby zjistili, jak byla jeho služba 2FA narušena. Loopring spolupracuje s orgány činnými v trestním řízení na vypátrání pachatele a požádal každého, kdo má informace o hacku, aby je sdílel s protokolem.
Incident vedl ke zvýšené kontrole technologií chytrých peněženek, které si získaly pozornost v komunitě Ethereum po zavedení standardu abstrakce účtů ERC-4337.
Zatímco prominentní osobnosti jako Vitalik Buterin a organizace jako Coinbase tuto technologii podpořily, porušení Loopringu přimělo některé odborníky k pochybnostem o připravenosti chytrých peněženek na široké přijetí.
Obhájce decentralizace Chris Blec poznamenal, že incident ukazuje, že „chytré peněženky nejsou připraveny na hlavní vysílací čas“ a radí uživatelům, aby se „drželi správně zabezpečených počátečních frází pro maximální bezpečnost a suverenitu“.
Chytré peněženky nejsou připraveny na hlavní vysílací čas.
Držte se správně zabezpečených počátečních frází pro maximální bezpečnost a suverenitu. https://t.co/mrDj8r3cPO
— Chris Blec (@ChrisBlec) 9. června 2024
Po zprávách o porušení zaznamenal Loopringův nativní token, LRC, 4% pokles a dosáhl čtyřměsíčního minima 0,21 $.
The post Loopring’s ‘Guardian’ 2FA Service Compromed, Leading to $5 Million Hack appeared first on Blockonomi.