O Altcoin Hacklendi: Milyonlarca Dolar Çalındı, Fiyatı Düştü!

Altcoin LRC’nin ardındaki Loopring, Ethereum üzerine inşa edilmiş bir ZK-rollup protokolü, geçtiğimiz günlerde şirketin açıkladığı üzere, iki faktörlü kimlik doğrulamaya dayanan Guardian cüzdan kurtarma hizmetinde güvenlik açığı yaşadı. Blockchain bilgileri, Loopring’in Guardian hizmetiyle korunan cüzdanlardan yaklaşık 5 milyon dolarlık varlığın çalındığını gösteriyor. İşte detaylar…

‘En güvenli’ olarak tanıtılan altcoin için hack şoku

“Ethereum’un en inançlı cüzdanı” olarak web sitesinde tanıtılan zkEVM protokolü Loopring, Pazar günü yaptığı duyuruda, ‘Guardian’ isimli iki faktörlü kimlik doğrulama hizmetiyle ilgili bir güvenlik açığı yaşadığını duyurdu. Guardian hizmeti aracılığıyla kullanıcılar, güvenlik süreçlerinde yardımcı olması için güvendikleri bireylerin yahut kurumların cüzdanlarını atayabiliyorlardı. Bu süreçler, tehlikeye atılmış bir cüzdanı kilitlemek yahut parola tabiri kaybolursa cüzdanı geri yüklemek üzere süreçleri içeriyordu.

Ancak Loopring duyurusunda, bir saldırganın kullanıcı müsaadesi olmadan tek bir koruyucusu olan cüzdanlarda kurtarma süreci başlatmak için Loopring’in kendi Resmi Guardian hizmetini atlamayı başardığını açıkladı. Loopring’in web sitesine nazaran süreçleri başlatmak için yarısından fazla koruyucunun gerekli olması nedeniyle, birden fazla hami yahut farklı bir üçüncü taraf koruyucusu kullanan cüzdanlar bu açıktan korunmuş oldu.

Çalıntı fonlar, iki cüzdana gitti

Loopring ayrıyeten, güvenlik açığıyla ilgili olduğu düşünülen iki cüzdan adresini paylaştı. Blockchain bilgileri, bir cüzdanın etkilenen cüzdanlardan yaklaşık 5 milyon dolar pahasında token transferi gerçekleştirdiğini gösteriyor. Loopring duyurusunda, şu sözlere yer verdi:

 2FA hizmetimizin nasıl tehlikeye atıldığını belirlemek için Mist güvenlik uzmanlarıyla etkin bir biçimde işbirliği yapıyoruz. Kullanıcılarımızı korumak için, Guardian ile ilgili ve 2FA ile ilgili süreçleri süreksiz olarak askıya aldık. Bu aksiyondan sonra güvenlik açığı sona erdi.

Fiyatta düşüş var

Loopring ayrıyeten, saldırganı takip etmek için kolluk kuvvetleriyle birlikte çalıştığını ve hack hakkında ek bilgiye sahip olan herkesin bu bilgiyi protokol ile paylaşmasını istedi. Atak muhtemelen grup için bir sürpriz olsa da, Loopring’in risk açıklama bildirimi, Guardian hizmetine yapılan bir akının potansiyel bir atak vektörü olarak tanımlıyor ve kullanıcılara en az üç gözetici belirlemelerini öneriyor.

Loopring’in web sitesinde, “Cüzdanınız oluşturulduktan sonra, Cüzdanınıza varsayılan olarak Loopring Resmi Guardian hizmetini ekleyeceğiz. Merkezi bir hizmet olarak, Loopring Resmi Guardian saldırganlar tarafından akına uğrayabilir ve denetim edilebilir” tabirleri yer alıyor. Piyasa bilgilerine nazaran, Loopring’in hack duyurusunun akabinde lokal token’ı son 24 saat içinde yaklaşık %5 oranında düştü. Düşüşü aşağıdaki grafikte görebilirsiniz.