📣 Loopring потерял $5 млн из-за взлома 2FA
опубликовано 10 июн 2024
ZK-протокол на базе Ethereum Loopring подвергся хакерской атаке. Злоумышленник украл $5 млн из кошельков пострадавших и вывел деньги в Ethereum.
Loopring, в отличие от некастодиальных криптокошельков, где владелец сам отвечает за безопасность своих средств, позволяет создавать кошельки с привязкой к нескольким наблюдателям. Это позволяет восстановить доступ в случае потери основного приватного ключа. Наблюдателем может быть собственный кошелек пользователя, кошельки друзей или даже доверенная фирма (в том числе сама Loopring). Таким образом, для восстановления доступа нужна не сид-фраза, а согласие большинства наблюдателей.
Злоумышленнику удалось взломать систему двухфакторной аутентификации Loopring, что позволило ему выдавать себя за владельца кошельков. Далее мошенник использовал функцию восстановления доступа и вывел средства. Жертвами стали кошельки, которые пользовались услугами единого наблюдателя — Loopring Official Guardian. Обманув работников проекта благодаря взломанной 2FA, хакеру удалось получить согласие на доступ к кошелькам.
Сейчас команда Loopring сотрудничает с аналитиками SlowMist, чтобы отследить хакера и вернуть деньги.