Loopring Smart Wallet bị hack 5 triệu USD bằng lỗ hổng của tính năng bảo mật ví Guardian. Giá token LRC của layer-2 này đã giảm khoảng 5% kể từ sau vụ hack.
Loopring Smart Wallet bị tấn công, tổn thất 5 triệu USD
Sau vụ hack sàn DEX Velocore trên zkSync và Linea tiếp tục đến Smart Wallet trên Loopring là nạn nhân thứ hai trong tháng 06/2024. Tối ngày 09/06 (giờ Việt Nam), layer-2 dựa trên ZK-rollups Loopring đã đăng tải thông báo trên nền tảng X (Twitter) rằng một số Loopring Smart Wallet đã bị hacker tấn công.
🚨Incident Alert: Loopring Smart Wallets Compromised🚨
— Loopring💙 (@loopringorg) June 9, 2024
A few hours ago, some Loopring Smart Wallets were targeted in a security breach. The attack exploited wallets with only one Guardian, specifically the Loopring Official Guardian. The hacker initiated a Recovery process,… pic.twitter.com/Y9mYC4j9QJ
Vụ hack này đã gây thiệt hại sơ bộ 5 triệu USD sau khi dịch vụ phục hồi ví “Guardian” của Loopring Smart Wallet bị xâm phạm. Mặc dù Loopring từng tự hào rằng đây là “ví Ethereum an toàn nhất” nhưng chính sự tự tin này đã bị hacker lợi dụng để thực hiện cuộc tấn công.
Cụ thể, dịch vụ 2FA Guardian trên Loopring Smart Wallet cho phép người dùng chỉ định ví của những cá nhân hoặc tổ chức trở thành Guardian để hỗ trợ các hoạt động bảo mật như khóa ví bị xâm phạm hoặc khôi phục ví nếu Seed Phrase bị mất. Tuy nhiên, một hacker đã tìm cách để lách qua hệ thống bảo mật của Loopring, dù rằng thông thường để thực hiện các thao tác như khóa hoặc phục hồi ví, cần phải có sự đồng ý của nhiều hơn một nửa số Guardian.
Tận dụng lỗ hổng của các ví chỉ có duy nhất một Loopring Official Guardian. Hacker này đã thực hiện quá trình phục hồi ví chỉ mà không cần sự cho phép của chủ sở hữu ví. Loopring Official Guardian được cung cấp bởi Loopring sẽ được tự động thêm vào ví sau khi người dùng tạo ví.
Những ví sử dụng nhiều Guardian hoặc những Guardian khác từ bên thứ ba đã được bảo vệ khỏi lỗ hổng này.
Loopring đã công bố hai địa chỉ ví được cho là liên quan đến vụ tấn công trên với số ETH trị giá hơn 5 triệu USD từ các ví bị ảnh hưởng. Trong đó có một ví nắm giữ tài sản lên tới 5,1 triệu USD.
Ví của hacker nắm giữ 5,1 triệu USD
Vụ hack bắt đầu vào lúc 1 giờ sáng ngày 09/06, hacker đã thực hiện chuyển khoảng 190.000 LRC token về ví của mình.
Giao dịch đầu tiên trong vụ hack
Ví bị thiệt hại nặng nề nhất lên tới hơn 800.000 USD khi hacker đã đánh cắp trong ví khoảng 60.000 USDC, hơn 172 ETH và 0,5 WBTC.
Ví bị thiệt hại nặng nề nhất với tổng thiệt hại 800.000 USD
Trong bài đăng của mình, Loopring cũng đã thông báo:
“Chúng tôi đang tích cực hợp tác với các chuyên gia bảo mật của SlowMist để xác định cách dịch vụ 2FA của chúng tôi bị xâm phạm. Để bảo vệ người dùng, chúng tôi đã tạm thời ngừng tất cả các hoạt động liên quan đến Guardian và 2FA.”
Loopring cũng cho biết họ đang làm việc với cơ quan thực thi pháp luật để theo dõi thủ phạm và yêu cầu bất kỳ ai có thông tin bổ sung về vụ hack chia sẻ với đội ngũ dự án.
Mặc dù, đội ngũ dự án có thể không lường trước được vụ hack này nhưng tuyên bố về các rủi ro của Loopring Official Guardian hoàn toàn có thể bị xâm phạm và khuyến nghị người dùng nên thiết lập ít nhất ba Guardian.
“Sau khi ví của bạn được tạo, chúng tôi sẽ mặc định thêm dịch vụ Guardian Chính thức của Loopring vào ví của bạn. Vì là một dịch vụ tập trung, Loopring Official Guardian có thể bị hacker tấn công và chiếm quyền kiểm soát.”
Tuyên bố về khả năng bị hacker tấn công Loopring Official Guardian
Trong khi đó, giá token LRC của Loopring đã giảm khoảng 5% kể từ khi dự án thông báo về vụ tấn công và hiện đang được giao dịch quanh mức 0,22 USD.
Đồ thị 4h của cặp LRC/USDT trên sàn Binance vào 10:40 AM ngày 10/06/2024
Coin68 tổng hợp
Tham gia thảo luận về những vấn đề NÓNG HỔI nhất của thị trường DeFi tại nhóm chat Fomo Sapiens cùng các admin Coin68 nhé!!!