TLDR
Ethereum tabanlı bir ZK toplama protokolü olan Loopring, akıllı cüzdanları için 'Guardian' iki faktörlü kimlik doğrulama (2FA) hizmetiyle ilgili bir güvenlik ihlali yaşadı.
Bilgisayar korsanı, Loopring'in 2FA hizmetini tehlikeye atarak cüzdan sahiplerinin kimliğine bürünmelerine ve yalnızca Loopring Resmi Muhafızı ile cüzdanlarda yetkisiz kurtarma işlemleri başlatmalarına olanak tanıdı.
Blockchain verilerine göre, etkilenen cüzdanlardan yaklaşık 5 milyon dolar değerinde token boşaltıldı.
Loopring, Guardian ile ilgili ve 2FA ile ilgili operasyonları geçici olarak askıya aldı ve ihlali araştırmak için güvenlik uzmanları ve kolluk kuvvetleriyle işbirliği yapıyor.
Kendi deyimiyle "en güvenli cüzdanlar" olarak bilinen Ethereum tabanlı bir ZK toplama protokolü olan Loopring, kullanıcı fonlarında yaklaşık 5 milyon dolarlık kayba yol açan bir güvenlik ihlalinin kurbanı oldu.
9 Haziran 2024'te meydana gelen olay, akıllı cüzdanların güvenliği ve merkezi olmayan finans (DeFi) alanında gelişen teknolojilerle ilişkili potansiyel güvenlik açıkları hakkındaki endişeleri artırdı.
Loopring'in duyurusuna göre saldırı, protokolün 'Guardian' iki faktörlü kimlik doğrulama (2FA) hizmetini hedef aldı; bu hizmet, kullanıcıların, güvenliği ihlal edilmiş cüzdanları kilitlemek veya temel ifadeler kaybolursa erişimi geri yüklemek gibi güvenlik operasyonlarına yardımcı olmak için güvenilir cüzdanlar belirlemesine olanak tanıyor.
????Olay Uyarısı: Döngüsel Akıllı Cüzdanların Güvenliği İhlal Edildi????
Birkaç saat önce bazı Loopring Akıllı Cüzdanları bir güvenlik ihlali nedeniyle hedef alındı. Saldırıda yalnızca bir Guardian'ın, özellikle de Loopring Resmi Guardian'ın bulunduğu cüzdanlar kullanıldı. Bilgisayar korsanı bir Kurtarma işlemi başlattı,… pic.twitter.com/Y9mYC4j9QJ
— Döngü ???? (@loopringorg) Haziran 9, 2024
Bilgisayar korsanı, Loopring'in Resmi Muhafız hizmetini atlatmayı ve kullanıcıların izni olmadan yalnızca bir koruyucu ayarlanmış cüzdanlarda yetkisiz kurtarma başlatmayı başardı.
Blockchain verileri, saldırganın cüzdanının, etkilenen cüzdanlardan yaklaşık 5 milyon dolar değerinde token alabildiğini ortaya koyuyor.
Loopring, birden fazla koruyucuya sahip veya farklı bir üçüncü taraf koruyucu kullanan cüzdanların bu istismara karşı korunduğunu belirtti.
İhlale yanıt olarak Loopring, daha fazla uzlaşmayı önlemek için Guardian ile ilgili ve 2FA ile ilgili operasyonları geçici olarak askıya aldı.
Protokol, 2FA hizmetinin nasıl ihlal edildiğini belirlemek için blockchain güvenlik şirketi SlowMist ve diğer güvenlik uzmanlarıyla aktif olarak işbirliği yapıyor. Loopring, failin izini sürmek için kolluk kuvvetleriyle birlikte çalışıyor ve hack hakkında bilgisi olan herkesin bunu protokolle paylaşmasını talep etti.
Olay, ERC-4337 hesap soyutlama standardının uygulamaya konulmasının ardından Ethereum topluluğunda ilgi gören akıllı cüzdan teknolojilerinin daha fazla incelenmesine yol açtı.
Vitalik Buterin gibi önde gelen isimler ve Coinbase gibi kuruluşlar bu teknolojiyi desteklerken, Loopring ihlali bazı uzmanların akıllı cüzdanların yaygın olarak benimsenmeye hazır olup olmadığını sorgulamasına yol açtı.
Merkezi olmayanlaşma savunucusu Chris Blec, olayın "akıllı cüzdanların prime-time için hazır olmadığını" gösterdiğini belirterek, kullanıcılara "maksimum güvenlik ve egemenlik için uygun şekilde güvenli hale getirilmiş tohum ifadelerine bağlı kalmalarını" tavsiye etti.
Akıllı cüzdanlar prime-time'a hazır değil.
Maksimum güvenlik ve egemenlik için uygun şekilde korunan tohum cümlelerine sadık kalın. https://t.co/mrDj8r3cPO
- Chris Blec (@ChrisBlec) 9 Haziran 2024
İhlal haberinin ardından Loopring'in yerel tokeni LRC %4'lük bir düşüş yaşadı ve dört ayın en düşük seviyesi olan 0,21 dolara ulaştı.
Loopring'in 'Guardian' 2FA Hizmetinin Güvenliği Tehlikeye Girdi ve 5 Milyon Dolarlık Hack'e Yol Açtı yazısı ilk olarak Blockonomi'de göründü.
