TLDR
Loopring, um protocolo ZK-rollup baseado em Ethereum, sofreu uma violação de segurança relacionada ao seu serviço de autenticação de dois fatores (2FA) ‘Guardian’ para suas carteiras inteligentes.
O hacker comprometeu o serviço 2FA do Loopring, permitindo-lhes se passar por proprietários de carteiras e iniciar recuperações não autorizadas em carteiras apenas com o Guardião Oficial do Loopring.
Aproximadamente US$ 5 milhões em tokens foram drenados das carteiras afetadas, de acordo com dados do blockchain.
Loopring suspendeu temporariamente as operações relacionadas ao Guardian e 2FA e está colaborando com especialistas em segurança e autoridades para investigar a violação.
Loopring, um protocolo ZK-rollup baseado em Ethereum conhecido por suas autoproclamadas “carteiras mais seguras”, foi vítima de uma violação de segurança que resultou na perda de aproximadamente US$ 5 milhões em fundos de usuários.
O incidente, ocorrido em 9 de junho de 2024, levantou preocupações sobre a segurança das carteiras inteligentes e as vulnerabilidades potenciais associadas às tecnologias emergentes no espaço financeiro descentralizado (DeFi).
De acordo com o anúncio da Loopring, o ataque teve como alvo o serviço de autenticação de dois fatores (2FA) ‘Guardian’ do protocolo, que permite aos usuários nomear carteiras confiáveis para auxiliar nas operações de segurança, como bloquear carteiras comprometidas ou restaurar o acesso em caso de perda de frases-semente.
????Alerta de incidente: carteiras inteligentes de loopring comprometidas????
Algumas horas atrás, algumas carteiras inteligentes Loopring foram alvo de uma violação de segurança. O ataque explorou carteiras com apenas um Guardian, especificamente o Loopring Official Guardian. O hacker iniciou um processo de recuperação,… pic.twitter.com/Y9mYC4j9QJ
— Loopring???? (@loopringorg) 9 de junho de 2024
O hacker conseguiu contornar o serviço Official Guardian da Loopring e iniciar recuperações não autorizadas em carteiras que tinham apenas um guardião configurado, sem a permissão dos usuários.
Os dados do Blockchain revelam que a carteira do invasor foi capaz de drenar aproximadamente US$ 5 milhões em tokens das carteiras afetadas.
Loopring afirmou que carteiras com vários guardiões ou aquelas que usam um guardião terceirizado diferente estavam protegidas contra exploração.
Em resposta à violação, a Loopring suspendeu temporariamente as operações relacionadas ao Guardian e ao 2FA para evitar novos comprometimentos.
O protocolo está colaborando ativamente com a empresa de segurança blockchain SlowMist e outros especialistas em segurança para determinar como seu serviço 2FA foi violado. Loopring está trabalhando com as autoridades para rastrear o autor do crime e solicitou que qualquer pessoa com informações sobre o hack as compartilhasse com o protocolo.
O incidente levou a um maior escrutínio das tecnologias de carteira inteligente, que ganharam força na comunidade Ethereum após a introdução do padrão de abstração de conta ERC-4337.
Embora figuras proeminentes como Vitalik Buterin e organizações como a Coinbase tenham apoiado esta tecnologia, a violação do Loopring levou alguns especialistas a questionar a prontidão das carteiras inteligentes para adoção generalizada.
O defensor da descentralização, Chris Blec, observou que o incidente demonstra que “as carteiras inteligentes não estão prontas para o horário nobre”, aconselhando os usuários a “se limitarem a frases-semente devidamente protegidas para máxima segurança e soberania”.
As carteiras inteligentes não estão prontas para o horário nobre.
Use frases-semente devidamente protegidas para máxima segurança e soberania. https://t.co/mrDj8r3cPO
-Chris Blec (@ChrisBlec) 9 de junho de 2024
Após a notícia da violação, o token nativo da Loopring, LRC, sofreu uma queda de 4%, atingindo o mínimo de quatro meses de US$ 0,21.
O posto Serviço 2FA ‘Guardian’ do Loopring comprometido, levando a um hack de US$ 5 milhões apareceu pela primeira vez no Blockonomi.
