TLDR
Loopring, uz Ethereum balstīts ZK apkopošanas protokols, cieta drošības pārkāpumu saistībā ar tā viedmakiem paredzēto divu faktoru autentifikācijas (2FA) pakalpojumu “Guardian”.
Hakeris kompromitēja Loopring 2FA pakalpojumu, ļaujot viņiem uzdoties par maku īpašniekiem un uzsākt nesankcionētu maku atkopšanu, izmantojot tikai Loopring oficiālo aizbildni.
Saskaņā ar blokķēdes datiem no ietekmētajiem makiem tika izvadīti žetoni aptuveni 5 miljonu ASV dolāru vērtībā.
Loopring ir uz laiku apturējis ar Guardian un 2FA saistītās darbības un sadarbojas ar drošības ekspertiem un tiesībaizsardzības iestādēm, lai izmeklētu pārkāpumu.
Loopring, uz Ethereum balstīts ZK apkopošanas protokols, kas pazīstams ar saviem pašpasludinātajiem “visdrošākajiem makiem”, ir kļuvis par upuri drošības pārkāpumam, kura rezultātā tika zaudēti aptuveni 5 miljoni dolāru lietotāju līdzekļi.
Incidents, kas notika 2024. gada 9. jūnijā, ir radījis bažas par viedo maku drošību un iespējamām ievainojamībām, kas saistītas ar jaunajām tehnoloģijām decentralizētās finanšu (DeFi) telpā.
Saskaņā ar Loopring paziņojumu, uzbrukums bija vērsts uz protokola divu faktoru autentifikācijas (2FA) pakalpojumu “Guardian”, kas lietotājiem ļauj izraudzīties uzticamus makus, lai palīdzētu drošības darbībās, piemēram, bloķētu apdraudētos makus vai atjaunotu piekļuvi, ja tiek pazaudētas sākotnējās frāzes.
????Brīdinājums par incidentu: ir apdraudēta viedmaku bloķēšana????
Pirms dažām stundām daži Loopring viedie maki tika vērsti pret drošības pārkāpumu. Uzbrukumā tika izmantoti maki tikai ar vienu aizbildni, īpaši Loopring oficiālo aizbildni. Hakeris uzsāka atkopšanas procesu… pic.twitter.com/Y9mYC4j9QJ
— Loping???? (@loopringorg) 2024. gada 9. jūnijs
Hakerim izdevās apiet Loopring Oficiālā aizbildņa pakalpojumu un bez lietotāju atļaujas uzsākt nesankcionētu atkopšanu makos, kuriem bija iestatīts tikai viens aizbildnis.
Blokķēdes dati atklāj, ka uzbrucēja maciņš varēja iztukšot aptuveni 5 miljonus dolāru vērtus žetonus no ietekmētajiem makiem.
Loopring ir paziņojis, ka maki ar vairākiem aizbildņiem vai tiem, kas izmanto citu, trešās puses aizbildni, tika aizsargāti no ļaunprātīgas izmantošanas.
Reaģējot uz pārkāpumu, Loopring ir uz laiku apturējis ar Guardian un 2FA saistītās darbības, lai novērstu turpmākus kompromisus.
Protokols aktīvi sadarbojas ar blokķēdes drošības firmu SlowMist un citiem drošības ekspertiem, lai noteiktu, kā tika pārkāpts tā 2FA pakalpojums. Loopring sadarbojas ar tiesībsargājošajām iestādēm, lai izsekotu vainīgo, un ir pieprasījis, lai ikviens, kam ir informācija par uzlaušanu, kopīgo to ar protokolu.
Incidents ir izraisījis viedo maku tehnoloģiju pastiprinātu pārbaudi, kas Ethereum kopienā ir guvušas vilci pēc ERC-4337 konta abstrakcijas standarta ieviešanas.
Lai gan tādas ievērojamas personas kā Vitalik Buterin un tādas organizācijas kā Coinbase ir atbalstījušas šo tehnoloģiju, Loopring pārkāpums ir licis dažiem ekspertiem apšaubīt viedo maku gatavību plašai ieviešanai.
Decentralizācijas aizstāvis Kriss Bleks atzīmēja, ka incidents parāda, ka "viedie maki nav gatavi vislabākajam laikam", iesakot lietotājiem "pieturēties pie pareizi aizsargātām sēklu frāzēm, lai nodrošinātu maksimālu drošību un suverenitāti".
Viedie maki nav gatavi vislabākajam laikam.
Pieturieties pie pareizi nostiprinātām sēklu frāzēm, lai nodrošinātu maksimālu drošību un suverenitāti. https://t.co/mrDj8r3cPO
— Kriss Bleks (@ChrisBlec) 2024. gada 9. jūnijs
Pēc ziņām par pārkāpumu, Loopring native token, LRC, piedzīvoja 4% kritumu, sasniedzot četru mēnešu zemāko līmeni USD 0,21.
Ziņa Loopring's Guardian 2FA Service Kompromitēts, novedot pie $5 miljonu uzlaušanas, vispirms parādījās vietnē Blockonomi.
