TLDR
Loopring, протокол ZK-зведення на основі Ethereum, зазнав порушення безпеки, пов’язаного з його службою двофакторної автентифікації (2FA) Guardian для його розумних гаманців.
Хакер скомпрометував службу 2FA Loopring, що дозволило їм видавати себе за власників гаманців і ініціювати неавторизоване відновлення гаманців лише за допомогою офіційного опікуна Loopring.
Згідно з даними блокчейну, з постраждалих гаманців було злито токенів на суму приблизно 5 мільйонів доларів.
Loopring тимчасово призупинив операції, пов’язані з Guardian і 2FA, і співпрацює з експертами з безпеки та правоохоронними органами для розслідування порушення.
Loopring, протокол ZK-зведення на основі Ethereum, відомий своїми самопроголошеними «найбезпечнішими гаманцями», став жертвою порушення безпеки, що призвело до втрати приблизно 5 мільйонів доларів США коштів користувачів.
Інцидент, який стався 9 червня 2024 року, викликав занепокоєння щодо безпеки розумних гаманців і потенційної вразливості, пов’язаної з новими технологіями в сфері децентралізованих фінансів (DeFi).
Згідно з повідомленням Loopring, атака була спрямована на службу двофакторної автентифікації (2FA) протоколу «Guardian», яка дозволяє користувачам призначати довірені гаманці для допомоги в операціях безпеки, таких як блокування скомпрометованих гаманців або відновлення доступу в разі втрати вихідних фраз.
????Попередження про інцидент: скомпрометовано розумні гаманці Loopring????
Кілька годин тому деякі розумні гаманці Loopring стали мішенню порушення безпеки. Атака використовувала гаманці лише з одним опікуном, зокрема офіційним опікуном Loopring. Хакер ініціював процес відновлення,… pic.twitter.com/Y9mYC4j9QJ
— Петля???? (@loopringorg) 9 червня 2024 р
Хакеру вдалося обійти службу Official Guardian Loopring і ініціювати несанкціоноване відновлення гаманців, на яких було встановлено лише одного опікуна, без дозволу користувачів.
Дані Blockchain показують, що гаманець зловмисника зміг викачати токенів на суму приблизно 5 мільйонів доларів із уражених гаманців.
Loopring заявив, що гаманці з декількома опікунами або ті, що використовують іншого, стороннього опікуна, були захищені від експлойту.
У відповідь на порушення Loopring тимчасово призупинив операції, пов’язані з Guardian і 2FA, щоб запобігти подальшим компрометаціям.
Протокол активно співпрацює з компанією з безпеки блокчейнів SlowMist та іншими експертами з безпеки, щоб визначити, як його сервіс 2FA був зламаний. Loopring співпрацює з правоохоронними органами, щоб знайти зловмисника, і попросив усіх, хто володіє інформацією про злом, надати її протоколу.
Цей інцидент призвів до посиленого вивчення технологій розумних гаманців, які набули популярності в спільноті Ethereum після введення стандарту абстракції облікових записів ERC-4337.
Незважаючи на те, що такі відомі особи, як Віталік Бутерін, і такі організації, як Coinbase, підтримали цю технологію, злом Loopring спонукав деяких експертів поставити під сумнів готовність розумних гаманців до широкого впровадження.
Прихильник децентралізації Кріс Блек зазначив, що інцидент демонструє, що «розумні гаманці не готові до прайм-тайму», порадивши користувачам «дотримуватися належним чином захищених початкових фраз для максимальної безпеки та суверенітету».
Розумні гаманці не готові до прайм-тайму.
Дотримуйтесь належним чином захищених початкових фраз для максимальної безпеки та суверенітету. https://t.co/mrDj8r3cPO
— Кріс Блек (@ChrisBlec) 9 червня 2024 р
Після новин про злом рідний токен Loopring, LRC, зазнав падіння на 4%, досягнувши чотиримісячного мінімуму в $0,21.
Повідомлення Сервіс 2FA Loopring «Guardian» зламано, що призвело до зламу на 5 мільйонів доларів, вперше з’явилося на Blockonomi.
