Loopring,基於以太坊的 ZK-rollup 協議,在週日遭遇重大安全漏洞,導致損失 500 萬美元。駭客利用 Loopring 的 Guardian 錢包恢復服務中的漏洞,破壞了雙因素認證(2FA)流程,使未經授權的資產轉移成為可能。
駭客如何利用 Loopring 的 2FA
Guardian 服務允許用戶指定信任的錢包進行安全任務,例如鎖定被入侵的錢包或在種子密碼丟失時恢復錢包。駭客繞過了這項服務,使用單一 Guardian 發起未經授權的錢包恢復。通過破壞 Loopring 的 2FA 服務,駭客冒充了錢包擁有者,獲得了恢復的批准,重設所有權並從受影響的錢包中提取資產。主要針對缺乏多個或第三方 Guardian 的錢包進行攻擊。
Loopring 的回應
Loopring 已確認與此次漏洞有關的兩個錢包地址,其中一個錢包從受影響的帳戶中提取了大約 500 萬美元。鏈上數據表明被盜資產已被交換為以太幣(ETH)。為此,Loopring 已暫停了與 Guardian 相關和 2FA 相關的操作,以保護用戶。
公司表示:「Loopring 正與执法机构和专业安全团队合作追踪犯罪嫌疑人。一旦调查有进展,我们将继续提供更新。」公司与 Mist 安全专家合作,以确定如何破坏他们的 2FA 服务。
對 Loopring 的安全性和信任的影響
此事件引發了對 Loopring 錢包服務安全性的擔憂,此前被吹捧為「以太坊最安全的錢包」。Loopring 風險披露聲明將 Guardian 服務識別為潜在攻擊向量,并建議用戶識別至少三個 Guardian。在駭客入侵後,Loopring 的本地代幣下跌了約 5%,達到四個月來的最低水平。
此次攻擊發生在 CoinGecko 遭受的一起數據泄漏事件之後,該事件涉及近 200 萬個聯繫人通過第三方電子郵件服務提供商受到損害。雖然 CoinGecko 的事件並未造成財務損失,但突顯了加密生態系統對安全漏洞的廣泛脆弱性。
專家對智能錢包安全性的看法
此次漏洞加劇了對智能錢包技術的審查,該技術在以太坊社區中越來越受到重視。像 Vitalik Buterin 這樣的知名人士以及組織,如 Coinbase,支持這項技術,並有望參與即將到來的 Pectra 硬分叉。然而,Loopring 事件引發了對謹慎的呼籲。
去中心化倡導者 Chris Blec 表示:「智能錢包尚未準備好進入主流市場,」建議用戶仍然使用妥善保護的種子密碼。同樣地,DigitalX 的研究主管 Pratik Kala 評論道:「新的技術帶來了新的攻擊向量。隨著時間的推移,我們將克服這一問題,但要保持安全,對重要資產使用硬體錢包。」
結論