以太坊上的 zkEVM 協議 Loopring 宣布其「Guardian」雙重身份驗證服務被破壞,導致價值 500 萬美元的代幣被盜。Loopring 向受害用戶表示,請聯絡該協議基金會信箱。
內容目錄
Loopring 發生什麼漏洞?
Loopring 因為它的 Guardian 服務遭遇了安全漏洞。
這項服務可以讓用戶指定受信任的錢包,以協助執行安全操作,例如鎖定被破壞的錢包或在助記詞丟失時恢復錢包。不幸的是,一名駭客成功繞過了 Loopring 的官方 Guardian 服務,並對僅有一個 Guardian (受信任錢包) 發起了未經授權的重設操作。
該駭客利用了 Guardian 服務的漏洞,使他們能夠在未經用戶許可的情況下重設錢包。根據 Loopring 的說法,至少需要超過一半的 Guardian 才能批准交易,因此,使用多個 Guardian 或第三方 Guardian 的錢包沒有受到這次漏洞的影響。
部分錢包受影響,損失五百萬美金
Loopring 公佈了涉及漏洞的兩個錢包地址,數據顯示,其中一個錢包丟失了約 500 萬美元的代幣。
Loopring 後續處理
Loopring 正在積極與安全專家合作,以了解雙重身份驗證服務是如何被破壞的。為了保護用戶,Loopring 已暫時停止所有與 Guardian 相關和雙重身份驗證相關的操作。Loopring 在 X 上的公告中指出「採取這一行動後,漏洞已停止。」
該協議正與執法部門合作追蹤駭客。他們還呼籲任何有關這次攻擊的額外信息的提供者挺身而出。這一合作努力旨在減少損害並防止未來的攻擊。
預防措施
其實 Loopring 的風險披露聲明已經指出 Guardian 服務可能遭到這種破壞。
該協議建議用戶指定至少三個 Guardian 以增強安全性:「在創建錢包後,我們將預設添加 Loopring 官方 Guardian 服務到您的錢包。作為一種中心化服務,Loopring 官方 Guardian 可能會被駭客攻擊和控制」
