Altcoin LRC’nin arkasındaki Loopring, Ethereum üstüne inşa edilmiş bir ZK-rollup protokolü, sorun yaşadı. Zira iki faktörlü kimlik doğrulamaya dayanan Guardian cüzdan kurtarma hizmetinde güvenlik açığı yaşadı. Blockchain verileri, Loopring’in Guardian hizmetiyle korunan cüzdanlardan ortalama 5 milyon dolarlık varlığın çalındığını gösteriyor. İşte detaylar…
‘En güvenli’ olarak tanıtılan altcoin için hack şoku
“Ethereum’un en güvenli cüzdanı” olarak internet sayfasında tanıtılan zkEVM protokolü Loopring, gündeme geldi. Zira Pazar günü yapmış olduğu duyuruda, bir mesele yaşadığını deklare etti. ‘Guardian’ adlı iki faktörlü kimlik doğrulama hizmetiyle ilgili bir güvenlik açığı yaşadığını duyurdu. Guardian hizmeti vasıtasıyla kullanıcılar, güvenlik işlemlerinde destek olması için güvendikleri kişilerin yada kurumların cüzdanlarını atayabiliyorlardı. Bu işlemler, tehlikedeki bir cüzdanı kilitlemeyi içeriyor. Ek olarak parola ifadesi kaybolursa cüzdanı geri yüklemek şeklinde işlemleri içeriyordu.
Sadece Loopring duyurusunda, bir saldırganın kullanıcı izni olmadan tek bir koruyucusu olan cüzdanlarda kurtarma işlemi başlatmak için Loopring’in kendi Resmi Guardian hizmetini atlamayı başardığını deklare etti. Loopring’in internet sayfasına gore işlemleri başlatmak için yarısından fazla koruyucunun lüzumlu olması sebebiyle, birden fazla koruyucu yada değişik bir üçüncü taraf koruyucusu kullanan cüzdanlar bu açıktan korunmuş oldu.
Çalıntı fonlar, iki cüzdana gitti
Loopring ek olarak, güvenlik açığıyla ilgili olduğu kabul edilen iki cüzdan adresini paylaştı. Blockchain verileri, bir cüzdanın etkilenen cüzdanlardan ortalama 5 milyon dolar değerinde token transferi gerçekleştirdiğini gösteriyor. Loopring duyurusunda, şu ifadelere yer verdi:
2FA hizmetimizin iyi mi tehlikeye atıldığını belirlemek için Mist güvenlik uzmanlarıyla etken bir halde ortaklaşa iş yapıyoruz. Kullanıcılarımızı korumak için, Guardian ile ilgili ve 2FA ile ilgili işlemleri geçici olarak askıya aldık. Bu eylemden sonrasında güvenlik açığı sonlanmış oldu.
Fiyatta düşüş var
Loopring ek olarak, saldırganı izlemek için kolluk güçleriyle beraber çalıştığını ve hack hakkında ek bilgiye haiz olan her insanın bu bilgiyi protokol ile paylaşmasını istedi. Hücum muhtemelen ekip için bir sürpriz olsa da, Loopring’in risk izahat bildirimi, Guardian hizmetine meydana getirilen bir saldırının potansiyel bir hücum vektörü olarak tanımlıyor ve kullanıcılara minimum üç koruyucu belirlemelerini öneriyor.
Loopring’in internet sayfasında, “Cüzdanınız oluşturulduktan sonrasında, Cüzdanınıza varsayılan olarak Loopring Resmi Guardian hizmetini ekleyeceğiz. Merkezi bir hizmet olarak, Loopring Resmi Guardian saldırganlar tarafınca saldırıya uğrayabiliyor. Sadece denetim edilebiliyor” ifadeleri içeriyor. Piyasa verilerine gore, Loopring’in hack duyurusunun peşinden mahalli token’ı son 24 saat içinde ortalama %5 oranında düştü. Düşüşü aşağıdaki grafikte görebilirsiniz.
Son dakika gelişmelerden anında haberdar olmak için bizi Twitter’da, Feysbuk‘ta ve Instagram‘da takip edin ve Telegram ve YouTube kanalımıza katılın!