TLDR
Loopring, протокол объединения ZK на базе Ethereum, подвергся нарушению безопасности, связанному со службой двухфакторной аутентификации (2FA) Guardian для своих интеллектуальных кошельков.
Хакер взломал службу 2FA Loopring, что позволило им выдавать себя за владельцев кошельков и инициировать несанкционированное восстановление кошельков только с помощью официального хранителя Loopring.
Согласно данным блокчейна, из пострадавших кошельков было удалено токенов на сумму около 5 миллионов долларов.
Loopring временно приостановила операции, связанные с Guardian и 2FA, и сотрудничает с экспертами по безопасности и правоохранительными органами в расследовании нарушения.
Loopring, протокол ZK-rollup на базе Ethereum, известный своими самопровозглашенными «самыми безопасными кошельками», стал жертвой нарушения безопасности, которое привело к потере около 5 миллионов долларов пользовательских средств.
Инцидент, произошедший 9 июня 2024 года, вызвал обеспокоенность по поводу безопасности умных кошельков и потенциальных уязвимостей, связанных с новыми технологиями в пространстве децентрализованных финансов (DeFi).
Согласно заявлению Loopring, атака была нацелена на службу двухфакторной аутентификации (2FA) протокола Guardian «Guardian», которая позволяет пользователям назначать доверенные кошельки для оказания помощи в операциях безопасности, таких как блокировка скомпрометированных кошельков или восстановление доступа в случае потери исходных фраз.
????Уведомление об инциденте: взломаны умные кошельки Loopring????
Несколько часов назад некоторые умные кошельки Loopring подверглись взлому. В ходе атаки использовались кошельки только с одним Guardian, а именно с официальным Guardian Loopring. Хакер инициировал процесс восстановления… pic.twitter.com/Y9mYC4j9QJ
— Петля???? (@lopringorg) 9 июня 2024 г.
Хакеру удалось обойти службу Official Guardian Loopring и инициировать несанкционированное восстановление кошельков, на которых был установлен только один хранитель, без разрешения пользователей.
Данные блокчейна показывают, что кошелек злоумышленника смог вывести из пострадавших кошельков токенов на сумму около 5 миллионов долларов.
Loopring заявила, что кошельки с несколькими хранителями или кошельки, использующие другого стороннего хранителя, были защищены от эксплойта.
В ответ на взлом Loopring временно приостановила операции, связанные с Guardian и 2FA, чтобы предотвратить дальнейшие компрометации.
Протокол активно сотрудничает с фирмой SlowMist, занимающейся безопасностью блокчейнов, и другими экспертами по безопасности, чтобы определить, как была взломана его служба 2FA. Loopring сотрудничает с правоохранительными органами, чтобы выследить преступника, и попросил всех, у кого есть информация о взломе, поделиться ею с протоколом.
Инцидент привел к усилению внимания к технологиям смарт-кошельков, которые получили распространение в сообществе Ethereum после введения стандарта абстракции учетных записей ERC-4337.
Хотя видные деятели, такие как Виталик Бутерин, и такие организации, как Coinbase, поддержали эту технологию, взлом Loopring побудил некоторых экспертов усомниться в готовности умных кошельков к широкому распространению.
Сторонник децентрализации Крис Блек отметил, что этот инцидент демонстрирует, что «умные кошельки не готовы к работе в прайм-тайм», посоветовав пользователям «придерживаться должным образом защищенных исходных фраз для максимальной безопасности и суверенитета».
Умные кошельки не готовы к прайм-тайму.
Придерживайтесь правильно защищенных исходных фраз для максимальной безопасности и суверенитета. https://t.co/mrDj8r3cPO
– Крис Блек (@ChrisBlec) 9 июня 2024 г.
После новостей о взломе собственный токен Loopring, LRC, упал на 4%, достигнув четырехмесячного минимума в 0,21 доллара.
Сообщение «Компрометация двухфакторной аутентификации Loopring’s Guardian, приведшая к взлому на 5 миллионов долларов», впервые появилась на Blockonomi.