Altcoin LRC’nin arkasındaki Loopring, Ethereum üzerine inşa edilmiş bir ZK-rollup protokolü, geçtiğimiz günlerde şirketin açıkladığı üzere, iki faktörlü kimlik doğrulamaya dayanan Guardian cüzdan kurtarma hizmetinde güvenlik açığı yaşadı. Blockchain verileri, Loopring’in Guardian hizmetiyle korunan cüzdanlardan yaklaşık 5 milyon dolarlık varlığın çalındığını gösteriyor. İşte detaylar…
‘En güvenli’ olarak tanıtılan altcoin için hack şoku
“Ethereum’un en güvenli cüzdanı” olarak web sitesinde tanıtılan zkEVM protokolü Loopring, Pazar günü yaptığı duyuruda, ‘Guardian’ adlı iki faktörlü kimlik doğrulama hizmetiyle ilgili bir güvenlik açığı yaşadığını duyurdu. Guardian hizmeti aracılığıyla kullanıcılar, güvenlik işlemlerinde yardımcı olması için güvendikleri kişilerin veya kurumların cüzdanlarını atayabiliyorlardı. Bu işlemler, tehlikeye atılmış bir cüzdanı kilitlemek veya parola ifadesi kaybolursa cüzdanı geri yüklemek gibi işlemleri içeriyordu.
Ancak Loopring duyurusunda, bir saldırganın kullanıcı izni olmadan tek bir koruyucusu olan cüzdanlarda kurtarma işlemi başlatmak için Loopring’in kendi Resmi Guardian hizmetini atlamayı başardığını açıkladı. Loopring’in web sitesine göre işlemleri başlatmak için yarısından fazla koruyucunun gerekli olması nedeniyle, birden fazla koruyucu veya farklı bir üçüncü taraf koruyucusu kullanan cüzdanlar bu açıktan korunmuş oldu.
Çalıntı fonlar, iki cüzdana gitti
Loopring ayrıca, güvenlik açığıyla ilgili olduğu düşünülen iki cüzdan adresini paylaştı. Blockchain verileri, bir cüzdanın etkilenen cüzdanlardan yaklaşık 5 milyon dolar değerinde token transferi gerçekleştirdiğini gösteriyor. Loopring duyurusunda, şu ifadelere yer verdi:
2FA hizmetimizin nasıl tehlikeye atıldığını belirlemek için Mist güvenlik uzmanlarıyla aktif bir şekilde işbirliği yapıyoruz. Kullanıcılarımızı korumak için, Guardian ile ilgili ve 2FA ile ilgili işlemleri geçici olarak askıya aldık. Bu eylemden sonra güvenlik açığı sona erdi.
Fiyatta düşüş var
Loopring ayrıca, saldırganı takip etmek için kolluk kuvvetleriyle birlikte çalıştığını ve hack hakkında ek bilgiye sahip olan herkesin bu bilgiyi protokol ile paylaşmasını istedi. Saldırı muhtemelen ekip için bir sürpriz olsa da, Loopring’in risk açıklama bildirimi, Guardian hizmetine yapılan bir saldırının potansiyel bir saldırı vektörü olarak tanımlıyor ve kullanıcılara en az üç koruyucu belirlemelerini öneriyor.
Loopring’in web sitesinde, “Cüzdanınız oluşturulduktan sonra, Cüzdanınıza varsayılan olarak Loopring Resmi Guardian hizmetini ekleyeceğiz. Merkezi bir hizmet olarak, Loopring Resmi Guardian saldırganlar tarafından saldırıya uğrayabilir ve kontrol edilebilir” ifadeleri yer alıyor. Piyasa verilerine göre, Loopring’in hack duyurusunun ardından yerel token’ı son 24 saat içinde yaklaşık %5 oranında düştü. Düşüşü aşağıdaki grafikte görebilirsiniz.