TLDR
イーサリアムベースのZKロールアッププロトコルであるLoopringは、スマートウォレットの「Guardian」2要素認証(2FA)サービスに関連するセキュリティ侵害を受けた。
ハッカーはLoopringの2FAサービスを侵害し、ウォレット所有者になりすまして、Loopringの公式ガーディアンのみを使用してウォレットの不正な回復を開始できるようになりました。
ブロックチェーンデータによると、影響を受けたウォレットから約500万ドル相当のトークンが流出した。
Loopring は Guardian 関連および 2FA 関連の操作を一時的に停止し、セキュリティ専門家や法執行機関と協力して侵害を調査しています。
自称「最も安全なウォレット」で知られるイーサリアムベースのZKロールアッププロトコルであるLoopringが、セキュリティ侵害の被害に遭い、ユーザーの資金約500万ドルが失われた。
2024年6月9日に発生したこの事件により、スマートウォレットの安全性と、分散型金融(DeFi)分野の新興技術に関連する潜在的な脆弱性に対する懸念が高まっている。
ループリングの発表によると、攻撃はプロトコルの「ガーディアン」2要素認証(2FA)サービスを標的としたもの。このサービスでは、ユーザーが信頼できるウォレットを指定して、侵害されたウォレットをロックしたり、シードフレーズが失われた場合にアクセスを復元したりするなどのセキュリティ操作を支援できる。
????インシデントアラート: Loopring スマートウォレットが侵害される????
数時間前、Loopring スマートウォレットがセキュリティ侵害の標的となりました。攻撃は、Loopring 公式ガーディアンのみを搭載したウォレットを悪用しました。ハッカーはリカバリプロセスを開始し、… pic.twitter.com/Y9mYC4j9QJ
— ループリング???? (@loopringorg) 2024年6月9日
ハッカーは、Loopring の公式ガーディアン サービスを回避し、ユーザーの許可なく、ガーディアンが 1 つしか設定されていないウォレットで不正な回復を開始することに成功しました。
ブロックチェーンデータによると、攻撃者のウォレットは影響を受けたウォレットから約500万ドル相当のトークンを流出させることができた。
Loopring は、複数のガーディアンを備えたウォレットや、異なるサードパーティのガーディアンを使用しているウォレットは、このエクスプロイトから保護されていると述べています。
この侵害を受けて、Loopring はさらなる侵害を防ぐため、Guardian 関連および 2FA 関連の操作を一時的に停止しました。
同プロトコルは、ブロックチェーンセキュリティ企業SlowMistや他のセキュリティ専門家と積極的に協力し、2FAサービスがどのように侵害されたのかを突き止めようとしている。Loopringは法執行機関と協力して犯人を追跡しており、ハッキングに関する情報を持っている人はプロトコルに共有するよう求めている。
この事件により、ERC-4337アカウント抽象化標準の導入に伴いイーサリアムコミュニティで注目を集めているスマートウォレット技術に対する監視が強化された。
ヴィタリック・ブテリン氏のような著名人やコインベースなどの組織がこの技術を支持している一方で、ループリングの侵害により、一部の専門家はスマートウォレットが広く普及する準備ができているかどうか疑問視している。
分散化推進者のクリス・ブレック氏は、この事件は「スマートウォレットがまだ本格的な運用には至っていない」ことを示していると指摘し、ユーザーに対して「最大限の安全性と主権を確保するため、適切に保護されたシードフレーズを使用する」ようアドバイスした。
スマートウォレットはまだゴールデンタイムに対応していません。
最大限の安全性と主権を確保するには、適切に保護されたシードフレーズを使用してください。https://t.co/mrDj8r3cPO
— クリス・ブレック(@ChrisBlec)2024年6月9日
侵害のニュースを受けて、ループリングのネイティブトークンであるLRCは4%下落し、4か月ぶりの安値である0.21ドルを記録した。
Loopring の「Guardian」2FA サービスが侵害され、500 万ドルのハッキング被害に遭うという記事が最初に Blockonomi に掲載されました。