TLDR
Loopring, un protocole ZK-rollup basé sur Ethereum, a subi une faille de sécurité liée à son service d'authentification à deux facteurs (2FA) « Guardian » pour ses portefeuilles intelligents.
Le pirate informatique a compromis le service 2FA de Loopring, leur permettant de se faire passer pour les propriétaires de portefeuilles et de lancer des récupérations non autorisées sur les portefeuilles avec uniquement le tuteur officiel de Loopring.
Selon les données de la blockchain, environ 5 millions de dollars de jetons ont été retirés des portefeuilles concernés.
Loopring a temporairement suspendu les opérations liées à Guardian et à 2FA et collabore avec des experts en sécurité et les forces de l'ordre pour enquêter sur la violation.
Loopring, un protocole de cumul ZK basé sur Ethereum, connu pour ses « portefeuilles les plus sécurisés » autoproclamés, a été victime d'une faille de sécurité qui a entraîné la perte d'environ 5 millions de dollars de fonds d'utilisateurs.
L'incident, survenu le 9 juin 2024, a soulevé des inquiétudes quant à la sécurité des portefeuilles intelligents et aux vulnérabilités potentielles associées aux technologies émergentes dans l'espace de la finance décentralisée (DeFi).
Selon l'annonce de Loopring, l'attaque visait le service d'authentification à deux facteurs (2FA) « Guardian » du protocole, qui permet aux utilisateurs de désigner des portefeuilles de confiance pour aider aux opérations de sécurité, telles que le verrouillage des portefeuilles compromis ou la restauration de l'accès en cas de perte de phrases de départ.
????Alerte d'incident : les portefeuilles intelligents Loopring compromis ????
Il y a quelques heures, certains portefeuilles intelligents Loopring ont été visés par une faille de sécurité. L’attaque a exploité des portefeuilles avec un seul Guardian, en particulier le Loopring Official Guardian. Le pirate informatique a lancé un processus de récupération,… pic.twitter.com/Y9mYC4j9QJ
— Boucle ???? (@loopringorg) 9 juin 2024
Le pirate informatique a réussi à contourner le service Official Guardian de Loopring et à lancer des récupérations non autorisées sur des portefeuilles qui n’avaient qu’un seul tuteur configuré, sans l’autorisation des utilisateurs.
Les données de la blockchain révèlent que le portefeuille de l’attaquant a pu drainer environ 5 millions de dollars de jetons des portefeuilles concernés.
Loopring a déclaré que les portefeuilles avec plusieurs tuteurs ou ceux utilisant un tuteur tiers différent étaient protégés contre l'exploit.
En réponse à cette violation, Loopring a temporairement suspendu les opérations liées à Guardian et à 2FA pour éviter de nouveaux compromis.
Le protocole collabore activement avec la société de sécurité blockchain SlowMist et d'autres experts en sécurité pour déterminer comment son service 2FA a été violé. Loopring travaille avec les forces de l'ordre pour retrouver l'auteur et a demandé à toute personne disposant d'informations sur le piratage de les partager avec le protocole.
L’incident a conduit à une surveillance accrue des technologies de portefeuille intelligent, qui ont gagné du terrain dans la communauté Ethereum suite à l’introduction de la norme d’abstraction de compte ERC-4337.
Alors que des personnalités telles que Vitalik Buterin et des organisations telles que Coinbase ont soutenu cette technologie, la violation de Loopring a incité certains experts à s'interroger sur l'état de préparation des portefeuilles intelligents à une adoption généralisée.
Chris Blec, défenseur de la décentralisation, a souligné que l'incident démontre que « les portefeuilles intelligents ne sont pas prêts pour les heures de grande écoute », conseillant aux utilisateurs de « s'en tenir à des phrases de départ correctement sécurisées pour une sécurité et une souveraineté maximales ».
Les portefeuilles intelligents ne sont pas prêts pour les heures de grande écoute.
Tenez-vous en aux phrases de départ correctement sécurisées pour une sécurité et une souveraineté maximales. https://t.co/mrDj8r3cPO
– Chris Blec (@ChrisBlec) 9 juin 2024
Suite à l’annonce de la violation, le jeton natif de Loopring, LRC, a connu une baisse de 4 %, atteignant un plus bas de quatre mois à 0,21 $.
Le service 2FA « Guardian » de Loopring compromis, conduisant à un piratage de 5 millions de dollars apparaît en premier sur Blockonomi.