Loopring bị hack $5M sau khi dịch vụ xác thực hai yếu tố Guardian bị tấn công

Loopring (LRC) – giao thức zkEVM được xây dựng trên Ethereum với trang web quảng cáo ứng dụng ví thông minh của mình là ví an toàn nhất của Ethereum, đã thông báo vào Chủ nhật về một lỗ hổng bảo mật liên quan đến dịch vụ xác thực hai yếu tố Guardian của họ.

Thông qua dịch vụ Guardian, người dùng có thể chọn đặt tên cho các ví của những cá nhân hoặc tổ chức đáng tin cậy để hỗ trợ các hoạt động bảo mật như khóa ví bị xâm nhập hoặc khôi phục ví nếu mất cụm từ khóa. Tuy nhiên, tin tặc đã vượt qua được chính dịch vụ Guardian chính thức của Loopring để kích hoạt khôi phục trên các ví chỉ có một Guardian đó mà không cần sự cho phép của người dùng. Loopring tiết lộ trong thông báo của mình. Theo trang web của Loopring, vì cần hơn một nửa số Guardian để bắt đầu giao dịch, nên các ví sử dụng nhiều Guardian hoặc một Guardian bên thứ ba khác đã được bảo vệ khỏi việc khai thác này.

Loopring cũng đã chia sẻ hai địa chỉ ví mà giao thức cho biết có liên quan đến lỗ hổng bảo mật. Dữ liệu blockchain cho thấy một trong những ví đó đã có thể đánh cắp khoảng $5M mã hóa từ các ví bị ảnh hưởng.

“Chúng tôi đang tích cực hợp tác với các chuyên gia bảo mật Mist để xác định cách dịch vụ xác thực hai yếu tố (2FA) của chúng tôi bị tấn công. Để bảo vệ người dùng, chúng tôi đã tạm thời đình chỉ các hoạt động liên quan đến Guardian và 2FA. Sau hành động này, việc tấn công đã dừng lại”, giao thức viết trong thông báo. Loopring hiện chưa đưa ra phản hồi ngay lập tức với yêu cầu bình luận của The Block.

Ngoài ra, Loopring cũng báo cáo rằng họ đang hợp tác với cơ quan thực thi pháp luật để truy tìm kẻ tấn công và yêu cầu bất kỳ ai có thêm thông tin về vụ hack hãy chia sẻ với giao thức.

Mặc dù vụ tấn công có thể là bất ngờ đối với nhóm Loopring, tuyên bố về rủi ro của họ đã xác định việc tấn công vào dịch vụ Guardian là một lỗ hổng bảo mật tiềm ẩn, và khuyến nghị người dùng xác định ít nhất ba người bảo vệ. “Sau khi Ví của bạn được tạo, chúng tôi sẽ tự động thêm dịch vụ Loopring Official Guardian vào Ví của bạn. Là một dịch vụ tập trung, Loopring Official Guardian có thể bị tấn công và kiểm soát bởi tin tặc”, trang web của Loopring ghi rõ.

Nguồn: Kenhbit tổng hợp

Từ khóa :
Bài viết mới
Tin nổi bật