TLDR
Loopring, un protocollo ZK-rollup basato su Ethereum, ha subito una violazione della sicurezza relativa al servizio di autenticazione a due fattori (2FA) "Guardian" per i suoi portafogli intelligenti.
L'hacker ha compromesso il servizio 2FA di Loopring, consentendo loro di impersonare i proprietari dei portafogli e avviare recuperi non autorizzati sui portafogli solo con il Guardiano Ufficiale di Loopring.
Secondo i dati blockchain, dai portafogli interessati sono stati drenati circa 5 milioni di dollari in token.
Loopring ha temporaneamente sospeso le operazioni relative a Guardian e 2FA e sta collaborando con esperti di sicurezza e forze dell'ordine per indagare sulla violazione.
Loopring, un protocollo ZK-rollup basato su Ethereum noto per i suoi autoproclamati "portafogli più sicuri", è caduto vittima di una violazione della sicurezza che ha comportato la perdita di circa 5 milioni di dollari in fondi degli utenti.
L'incidente, avvenuto il 9 giugno 2024, ha sollevato preoccupazioni sulla sicurezza degli smart wallet e sulle potenziali vulnerabilità associate alle tecnologie emergenti nello spazio della finanza decentralizzata (DeFi).
Secondo l'annuncio di Loopring, l'attacco ha preso di mira il servizio di autenticazione a due fattori (2FA) "Guardian" del protocollo, che consente agli utenti di nominare portafogli affidabili per assistere nelle operazioni di sicurezza, come bloccare portafogli compromessi o ripristinare l'accesso in caso di perdita delle frasi seed.
????Avviso incidente: Portafogli intelligenti Loopring compromessi????
Poche ore fa, alcuni Smart Wallet Loopring sono stati presi di mira da una violazione della sicurezza. L’attacco ha sfruttato wallet con un solo Guardian, nello specifico il Loopring Official Guardian. L'hacker ha avviato un processo di ripristino,… pic.twitter.com/Y9mYC4j9QJ
— Anello in loop???? (@loopringorg) 9 giugno 2024
L’hacker è riuscito a bypassare il servizio Official Guardian di Loopring e ad avviare ripristini non autorizzati su portafogli che avevano un solo guardian impostato, senza il permesso degli utenti.
I dati blockchain rivelano che il portafoglio dell’aggressore è stato in grado di drenare token per un valore di circa 5 milioni di dollari dai portafogli interessati.
Loopring ha dichiarato che i portafogli con più guardiani o quelli che utilizzano un diverso guardiano di terze parti erano protetti dall'exploit.
In risposta alla violazione, Loopring ha temporaneamente sospeso le operazioni relative a Guardian e 2FA per prevenire ulteriori compromissioni.
Il protocollo sta collaborando attivamente con la società di sicurezza blockchain SlowMist e altri esperti di sicurezza per determinare come è stato violato il suo servizio 2FA. Loopring sta collaborando con le forze dell'ordine per rintracciare l'autore del reato e ha richiesto che chiunque abbia informazioni sull'hacking le condivida con il protocollo.
L'incidente ha portato a un maggiore controllo delle tecnologie dei portafogli intelligenti, che hanno guadagnato terreno nella comunità di Ethereum in seguito all'introduzione dello standard di astrazione degli account ERC-4337.
Sebbene figure di spicco come Vitalik Buterin e organizzazioni come Coinbase abbiano sostenuto questa tecnologia, la violazione del Loopring ha spinto alcuni esperti a mettere in dubbio la disponibilità degli smart wallet per un’adozione diffusa.
Chris Blec, sostenitore del decentramento, ha osservato che l'incidente dimostra che "i portafogli intelligenti non sono pronti per il debutto", consigliando agli utenti di "attenersi a frasi iniziali adeguatamente protette per la massima sicurezza e sovranità".
I portafogli intelligenti non sono pronti per il debutto.
Attenersi a frasi seed adeguatamente protette per la massima sicurezza e sovranità. https://t.co/mrDj8r3cPO
— Chris Blec (@ChrisBlec) 9 giugno 2024
In seguito alla notizia della violazione, il token nativo di Loopring, LRC, ha subito un calo del 4%, toccando il minimo di quattro mesi di 0,21 dollari.
Il post Il servizio 2FA "Guardian" di Loopring compromesso, con un rischio di hacking da 5 milioni di dollari è apparso per la prima volta su Blockonomi.