Протокол Loopring, построенный на базе решения масштабирования для сети Эфириума ZK-Rollups, подвергся взлому через компрометацию службы восстановления кошелька Guardian.
Команда разработчиков Loopring Wallet позиционировала свое приложение как «самый безопасный кошелек Эфириума». В его основу была заложена технология второго уровня ZK-Rollups, которая поддерживает быстрые и дешевые транзакции с применением доказательств с нулевым разглашением, а также служба двухфакторной аутентификации Guardian.
Однако, как стало известно в воскресенье, протокол Loopring подвергся взлому, связанному с нарушениями безопасности службы двухфакторной аутентификации Guardian. С помощью Guardian пользователи могли присвоить специальные права кошелькам доверенных лиц или учреждений, чтобы заблокировать скомпрометированный кошелек Loopring или восстановить к нему доступ в случае потери исходной фразы.
Однако хакеру удалось обойти службу 2FA и инициировать восстановление кошелька с помощью одного единственного хранителя данных без уведомления и разрешения пользователя криптокошелька. Атака увенчалась успехом — хакер выдал себя за владельца кошелька, получил одобрение на восстановление и вывел около $5 млн.
Команда Loopring обратилась за помощью к правоохранительными органам и компаниям, специализирующимся на расследовании криптопреступлений, чтобы заблокировать украденные активы и выследить злоумышленника.
Команда разработчиков Loopring Wallet позиционировала свое приложение как «самый безопасный кошелек Эфириума». В его основу была заложена технология второго уровня ZK-Rollups, которая поддерживает быстрые и дешевые транзакции с применением доказательств с нулевым разглашением, а также служба двухфакторной аутентификации Guardian.
Однако, как стало известно в воскресенье, протокол Loopring подвергся взлому, связанному с нарушениями безопасности службы двухфакторной аутентификации Guardian. С помощью Guardian пользователи могли присвоить специальные права кошелькам доверенных лиц или учреждений, чтобы заблокировать скомпрометированный кошелек Loopring или восстановить к нему доступ в случае потери исходной фразы.
Однако хакеру удалось обойти службу 2FA и инициировать восстановление кошелька с помощью одного единственного хранителя данных без уведомления и разрешения пользователя криптокошелька. Атака увенчалась успехом — хакер выдал себя за владельца кошелька, получил одобрение на восстановление и вывел около $5 млн.
Команда Loopring обратилась за помощью к правоохранительными органам и компаниям, специализирующимся на расследовании криптопреступлений, чтобы заблокировать украденные активы и выследить злоумышленника.