TLDR
Loopring, một giao thức ZK-rollup dựa trên Ethereum, đã bị vi phạm bảo mật liên quan đến dịch vụ xác thực hai yếu tố (2FA) ‘Guardian’ cho ví thông minh của mình.
Tin tặc đã xâm phạm dịch vụ 2FA của Loopring, cho phép họ mạo danh chủ sở hữu ví và bắt đầu khôi phục trái phép trên ví chỉ với Người giám hộ chính thức của Loopring.
Theo dữ liệu blockchain, số token trị giá khoảng 5 triệu USD đã bị rút khỏi các ví bị ảnh hưởng.
Loopring đã tạm thời đình chỉ các hoạt động liên quan đến Guardian và 2FA, đồng thời đang hợp tác với các chuyên gia bảo mật và cơ quan thực thi pháp luật để điều tra vi phạm.
Loopring, một giao thức ZK-rollup dựa trên Ethereum được biết đến với “ví an toàn nhất” tự xưng là nạn nhân của một vi phạm bảo mật dẫn đến mất khoảng 5 triệu đô la tiền của người dùng.
Vụ việc xảy ra vào ngày 9 tháng 6 năm 2024 đã làm dấy lên lo ngại về sự an toàn của ví thông minh và các lỗ hổng tiềm ẩn liên quan đến các công nghệ mới nổi trong không gian tài chính phi tập trung (DeFi).
Theo thông báo của Loopring, cuộc tấn công nhắm vào dịch vụ xác thực hai yếu tố (2FA) ‘Guardian’ của giao thức, cho phép người dùng chỉ định các ví đáng tin cậy để hỗ trợ các hoạt động bảo mật, chẳng hạn như khóa ví bị xâm phạm hoặc khôi phục quyền truy cập nếu cụm từ hạt giống bị mất.
????Cảnh báo sự cố: Ví thông minh Loopring bị xâm phạm????
Một vài giờ trước, một số Ví thông minh Loopring đã bị tấn công do vi phạm an ninh. Cuộc tấn công khai thác các ví chỉ có một Guardian, cụ thể là Loopring Official Guardian. Tin tặc đã bắt đầu quá trình Khôi phục,… pic.twitter.com/Y9mYC4j9QJ
- Vòng lặp ???? (@loopringorg) Ngày 9 tháng 6 năm 2024
Tin tặc đã tìm cách vượt qua dịch vụ Người giám hộ chính thức của Loopring và bắt đầu khôi phục trái phép trên các ví chỉ có một người giám hộ được thiết lập mà không có sự cho phép của người dùng.
Dữ liệu chuỗi khối tiết lộ rằng ví của kẻ tấn công đã có thể rút số token trị giá khoảng 5 triệu đô la từ các ví bị ảnh hưởng.
Loopring đã tuyên bố rằng các ví có nhiều người giám hộ hoặc những ví sử dụng người giám hộ bên thứ ba khác sẽ được bảo vệ khỏi việc khai thác.
Để đối phó với hành vi vi phạm, Loopring đã tạm thời đình chỉ các hoạt động liên quan đến Guardian và liên quan đến 2FA để ngăn chặn những thỏa hiệp tiếp theo.
Giao thức này đang tích cực hợp tác với công ty bảo mật blockchain SlowMist và các chuyên gia bảo mật khác để xác định xem dịch vụ 2FA của nó bị vi phạm như thế nào. Loopring đang làm việc với cơ quan thực thi pháp luật để truy tìm thủ phạm và yêu cầu bất kỳ ai có thông tin về vụ hack hãy chia sẻ thông tin đó với giao thức.
Vụ việc đã dẫn đến sự giám sát ngày càng tăng đối với các công nghệ ví thông minh, vốn đã thu hút được sự chú ý trong cộng đồng Ethereum sau khi tiêu chuẩn trừu tượng hóa tài khoản ERC-4337 được giới thiệu.
Trong khi những nhân vật nổi bật như Vitalik Buterin và các tổ chức như Coinbase đã ủng hộ công nghệ này, thì vụ vi phạm Loopring đã khiến một số chuyên gia đặt câu hỏi về mức độ sẵn sàng của ví thông minh để áp dụng rộng rãi.
Người ủng hộ phi tập trung Chris Blec lưu ý rằng vụ việc chứng tỏ rằng “ví thông minh chưa sẵn sàng cho thời kỳ sơ khai”, khuyên người dùng “hãy tuân thủ các cụm từ hạt giống được bảo mật đúng cách để có được sự an toàn và chủ quyền tối đa”.
Ví thông minh chưa sẵn sàng cho thời kỳ sơ khai.
Hãy gắn bó với các cụm từ hạt giống được bảo mật đúng cách để có được sự an toàn và chủ quyền tối đa. https://t.co/mrDj8r3cPO
– Chris Blec (@ChrisBlec) Ngày 9 tháng 6 năm 2024
Sau tin tức về vụ vi phạm, token gốc của Loopring, LRC, đã giảm 4%, chạm mức thấp nhất trong 4 tháng là 0,21 USD.
Bài đăng Dịch vụ 2FA ‘Guardian’ của Loopring bị xâm phạm, dẫn đến vụ hack 5 triệu USD xuất hiện đầu tiên trên Blockonomi.
