TLDR
Loopring, protokol ZK-rollup berbasis Ethereum, mengalami pelanggaran keamanan terkait dengan layanan otentikasi dua faktor (2FA) 'Guardian' untuk dompet pintarnya.
Peretas menyusupi layanan 2FA Loopring, memungkinkan mereka menyamar sebagai pemilik dompet dan memulai pemulihan tidak sah pada dompet hanya dengan Penjaga Resmi Loopring.
Token senilai sekitar $5 juta terkuras dari dompet yang terkena dampak, menurut data blockchain.
Loopring untuk sementara menghentikan operasi terkait Guardian dan 2FA serta berkolaborasi dengan pakar keamanan dan penegak hukum untuk menyelidiki pelanggaran tersebut.
Loopring, protokol ZK-rollup berbasis Ethereum yang dikenal dengan sebutan “dompet paling aman” telah menjadi korban pelanggaran keamanan yang mengakibatkan hilangnya dana pengguna sekitar $5 juta.
Insiden yang terjadi pada tanggal 9 Juni 2024 ini telah menimbulkan kekhawatiran tentang keamanan dompet pintar dan potensi kerentanan yang terkait dengan teknologi baru di bidang keuangan terdesentralisasi (DeFi).
Menurut pengumuman Loopring, serangan tersebut menargetkan layanan otentikasi dua faktor (2FA) ‘Guardian’, yang memungkinkan pengguna untuk memilih dompet tepercaya untuk membantu operasi keamanan, seperti mengunci dompet yang disusupi atau memulihkan akses jika frase awal hilang.
????Peringatan Insiden: Dompet Cerdas Loopring Disusupi????
Beberapa jam yang lalu, beberapa Dompet Cerdas Loopring menjadi sasaran pelanggaran keamanan. Serangan tersebut mengeksploitasi dompet yang hanya memiliki satu Wali, khususnya Wali Resmi Loopring. Peretas memulai proses Pemulihan,… pic.twitter.com/Y9mYC4j9QJ
— Berulang???? (@loopringorg) 9 Juni 2024
Peretas berhasil melewati layanan Penjaga Resmi Loopring dan memulai pemulihan tidak sah pada dompet yang hanya memiliki satu penjaga, tanpa izin pengguna.
Data Blockchain mengungkapkan bahwa dompet penyerang mampu menguras token senilai sekitar $5 juta dari dompet yang terpengaruh.
Loopring menyatakan bahwa dompet dengan banyak wali atau dompet yang menggunakan wali pihak ketiga yang berbeda dilindungi dari eksploitasi.
Menanggapi pelanggaran tersebut, Loopring untuk sementara menghentikan operasi terkait Guardian dan 2FA untuk mencegah kompromi lebih lanjut.
Protokol ini secara aktif berkolaborasi dengan perusahaan keamanan blockchain SlowMist dan pakar keamanan lainnya untuk menentukan bagaimana layanan 2FA-nya dibobol. Loopring bekerja sama dengan penegak hukum untuk melacak pelaku dan telah meminta siapa pun yang memiliki informasi tentang peretasan tersebut untuk membagikannya kepada protokol.
Insiden ini menyebabkan peningkatan pengawasan terhadap teknologi dompet pintar, yang mendapatkan daya tarik di komunitas Ethereum setelah diperkenalkannya standar abstraksi akun ERC-4337.
Meskipun tokoh terkemuka seperti Vitalik Buterin dan organisasi seperti Coinbase mendukung teknologi ini, pelanggaran Loopring telah mendorong beberapa ahli mempertanyakan kesiapan dompet pintar untuk diadopsi secara luas.
Pendukung desentralisasi Chris Blec mencatat bahwa insiden tersebut menunjukkan bahwa “dompet pintar belum siap untuk prime-time,” menyarankan pengguna untuk “tetap menggunakan frase awal yang diamankan dengan baik untuk keamanan dan kedaulatan maksimum.”
Dompet pintar belum siap untuk prime-time.
Tetap berpegang pada frase awal yang diamankan dengan baik untuk keamanan dan kedaulatan maksimum. https://t.co/mrDj8r3cPO
— Chris Blec (@ChrisBlec) 9 Juni 2024
Menyusul berita pelanggaran tersebut, token asli Loopring, LRC, mengalami penurunan sebesar 4%, mencapai level terendah dalam empat bulan di $0,21.
Pos Layanan 2FA 'Guardian' Loopring Disusupi, Menghasilkan Peretasan $5 Juta muncul pertama kali di Blockonomi.
