TLDR
Loopring, protokół ZK-rollup oparty na Ethereum, doznał naruszenia bezpieczeństwa związanego z usługą dwuskładnikowego uwierzytelniania (2FA) „Guardian” dla inteligentnych portfeli.
Haker naruszył usługę 2FA Loopring, umożliwiając im podszywanie się pod właścicieli portfeli i inicjowanie nieautoryzowanego odzyskiwania portfeli wyłącznie za pośrednictwem oficjalnego opiekuna Loopring.
Według danych blockchain z portfeli, których dotyczy problem, wysunięto tokeny o wartości około 5 milionów dolarów.
Loopring tymczasowo zawiesił operacje związane ze Guardianem i 2FA i współpracuje z ekspertami ds. bezpieczeństwa i organami ścigania w celu zbadania naruszenia.
Loopring, oparty na Ethereum protokół ZK-rollup, znany z samozwańczych „najbezpieczniejszych portfeli”, padł ofiarą naruszenia bezpieczeństwa, które spowodowało utratę środków użytkowników o wartości około 5 milionów dolarów.
Incydent, który miał miejsce 9 czerwca 2024 r., wzbudził obawy dotyczące bezpieczeństwa inteligentnych portfeli i potencjalnych luk w zabezpieczeniach związanych z pojawiającymi się technologiami w przestrzeni zdecentralizowanych finansów (DeFi).
Zgodnie z zapowiedzią Loopring celem ataku była świadczona przez protokół usługa uwierzytelniania dwuskładnikowego „Guardian” (2FA), która umożliwia użytkownikom wyznaczanie zaufanych portfeli do pomocy w operacjach związanych z bezpieczeństwem, takich jak blokowanie zainfekowanych portfeli lub przywracanie dostępu w przypadku utraty fraz początkowych.
????Powiadomienie o incydencie: naruszenie inteligentnych portfeli Loopring????
Kilka godzin temu celem naruszenia bezpieczeństwa było kilka inteligentnych portfeli Loopring. W ataku wykorzystano portfele tylko z jednym Guardianem, a konkretnie z oficjalnym Guardianem Loopring. Haker zainicjował proces odzyskiwania… pic.twitter.com/Y9mYC4j9QJ
— Zapętlenie???? (@loopringorg) 9 czerwca 2024 r
Hakerowi udało się ominąć usługę Oficjalnego Strażnika Loopring i zainicjować nieautoryzowane odzyskiwanie danych na portfelach, które miały skonfigurowanego tylko jednego opiekuna, bez zgody użytkowników.
Dane Blockchain pokazują, że portfel atakującego był w stanie wyssać z zaatakowanych portfeli tokeny o wartości około 5 milionów dolarów.
Loopring stwierdził, że portfele z wieloma opiekunami lub portfele korzystające z innego, zewnętrznego opiekuna były chronione przed exploitem.
W odpowiedzi na naruszenie Loopring tymczasowo zawiesił operacje związane ze Guardianem i 2FA, aby zapobiec dalszym kompromisom.
Protokół aktywnie współpracuje z firmą SlowMist zajmującą się bezpieczeństwem blockchain i innymi ekspertami ds. bezpieczeństwa, aby ustalić, w jaki sposób naruszono jej usługę 2FA. Loopring współpracuje z organami ścigania, aby wyśledzić sprawcę i poprosił, aby każda osoba posiadająca informacje na temat włamania podzieliła się nimi z protokołem.
Incydent doprowadził do wzmożonej kontroli technologii inteligentnych portfeli, które zyskały popularność w społeczności Ethereum po wprowadzeniu standardu abstrakcji kont ERC-4337.
Chociaż wybitne osobistości, takie jak Vitalik Buterin i organizacje takie jak Coinbase, poparły tę technologię, naruszenie Loopring skłoniło niektórych ekspertów do zakwestionowania gotowości inteligentnych portfeli do powszechnego zastosowania.
Zwolennik decentralizacji, Chris Blec, zauważył, że incydent pokazuje, że „inteligentne portfele nie są gotowe na najlepszy czas”, doradzając użytkownikom, aby „trzymali się odpowiednio zabezpieczonych fraz początkowych w celu zapewnienia maksymalnego bezpieczeństwa i suwerenności”.
Inteligentne portfele nie są gotowe na czas największej oglądalności.
Trzymaj się odpowiednio zabezpieczonych fraz początkowych, aby zapewnić maksymalne bezpieczeństwo i suwerenność. https://t.co/mrDj8r3cPO
— Chris Blec (@ChrisBlec) 9 czerwca 2024 r
Po wiadomości o naruszeniu natywny token Loopring, LRC, odnotował 4% spadek, osiągając najniższy od czterech miesięcy poziom 0,21 USD.
Wpis dotyczący naruszenia usługi 2FA „Guardian” firmy Loopring, co doprowadziło do włamania na kwotę 5 milionów dolarów, pojawił się jako pierwszy na Blockonomi.
