以太坊 Layer2 協議 Loopring 證實,旗下自詡為「最安全以太坊錢包」的智能錢包遭遇漏洞攻擊,根據初步估算,受影響用戶合計損失 5 百萬美元。
Loopring 官方團隊透露,部分 Loopring 智能錢包於昨(9)日遭到入侵,且攻擊專門針對「僅設有單一監護人(Guardian)」的錢包,其中又以使用「Loopring 官方 Guardian」的錢包為首要攻擊目標。
Incident Alert: Loopring Smart Wallets Compromised
A few hours ago, some Loopring Smart Wallets were targeted in a security breach. The attack exploited wallets with only one Guardian, specifically the Loopring Official Guardian. The hacker initiated a Recovery process,… pic.twitter.com/Y9mYC4j9QJ
— Loopring
(@loopringorg) June 9, 2024
根據 Cyvers Alerts 監測,Loopring 智能錢包攻擊者已將受影響錢包中的資產轉移,所有被盜資產全被兌換成以太幣,駭客地址目前持有 1373 枚以太幣,價值超過 500 萬美元。
據介紹,Loopring 用戶可透過「Guardian 服務」指定信任的人或機構錢包,以協助進行安全操作,如凍結被盜的錢包或在丟失助記詞時恢復錢包存取權。
然而,在這次的攻擊事件當中,駭客卻設法繞過了 Loopring 自家的官方 Guardian,在未經用戶授權的情況下,對「僅設有單一 Guardian 的錢包」發起恢復操作。 Loopring 官網提到,當錢包設有「多個 Guardian」或「第三方 Guardian」時,必須要取得逾半數 Guardian 的同意才能發起交易,因此這部分用戶並未受到波及。
至於攻擊者何以得逞?Loopring 在貼文中提到,攻擊者先是破壞了該協議的雙重驗證(2FA)服務,然後冒充錢包持有人取得官方 Guardian 的批准以對錢包進行「恢復」,藉此取得錢包的控制權,接著再提取錢包內的資產。
Loopring 補充說,為了保護用戶,團隊暫時停止了 Guardian 服務、 2FA 相關的操作,在採取這些措施後,攻擊也隨之消停。
Loopring 在後續的貼文中指出,正與慢霧以及其他資安專家和機構合作,繼續調查錢包遭攻擊事件,以及試圖釐清 2FA 服務被破壞的途徑和手法。一旦有更多資訊可以分享將儘速向社群更新,安全和用戶保護仍然是該團隊的首要任務。
〈曾自詡「最安全」!Loopring 智能錢包遇駭,用戶合計損失 5 百萬美元〉這篇文章最早發佈於《區塊客》。
