Loopring Smart Wallet đã bị hacker tấn công, gây thiệt hại khoảng 5 triệu USD thông qua lỗ hổng trong tính năng bảo mật ví Guardian. Kể từ sau vụ tấn công, giá token LRC của Layer-2 này đã giảm khoảng 5%.
Chi Tiết Vụ Tấn Công
Ngày 09/06, Loopring thông báo trên nền tảng X (Twitter) rằng một số Loopring Smart Wallet đã bị hacker tấn công. Vụ việc xảy ra sau vụ hack sàn DEX Velocore trên zkSync và Linea, khiến Loopring trở thành nạn nhân thứ hai trong tháng 06/2024.
Vụ hack đã gây tổn thất sơ bộ 5 triệu USD do dịch vụ phục hồi ví Guardian của Loopring Smart Wallet bị xâm phạm. Mặc dù Loopring từng tự hào rằng đây là “ví Ethereum an toàn nhất”, nhưng sự tự tin này đã bị hacker lợi dụng để thực hiện cuộc tấn công.
Lỗ Hổng Bảo Mật
Dịch vụ 2FA Guardian trên Loopring Smart Wallet cho phép người dùng chỉ định ví của cá nhân hoặc tổ chức làm Guardian để hỗ trợ các hoạt động bảo mật như khóa ví bị xâm phạm hoặc khôi phục ví nếu Seed Phrase bị mất. Tuy nhiên, hacker đã tìm cách lách qua hệ thống bảo mật của Loopring.
Tận dụng lỗ hổng của các ví chỉ có duy nhất một Loopring Official Guardian, hacker đã thực hiện quá trình phục hồi ví mà không cần sự cho phép của chủ sở hữu. Loopring Official Guardian được tự động thêm vào ví sau khi người dùng tạo ví.
Những ví sử dụng nhiều Guardian hoặc Guardian từ bên thứ ba đã được bảo vệ khỏi lỗ hổng này.
Hậu Quả
Loopring đã công bố hai địa chỉ ví liên quan đến vụ tấn công với số ETH trị giá hơn 5 triệu USD từ các ví bị ảnh hưởng. Một ví nắm giữ tài sản lên tới 5,1 triệu USD.
Vụ hack bắt đầu vào lúc 1 giờ sáng ngày 09/06, hacker đã thực hiện chuyển khoảng 190.000 LRC token về ví của mình. Ví bị thiệt hại nặng nề nhất lên tới hơn 800.000 USD khi hacker đã đánh cắp khoảng 60.000 USDC, hơn 172 ETH và 0,5 WBTC.
Phản Ứng Từ Loopring
Loopring đã tạm thời ngừng tất cả các hoạt động liên quan đến Guardian và 2FA để bảo vệ người dùng. Họ cũng đang hợp tác với các chuyên gia bảo mật của SlowMist để xác định cách dịch vụ 2FA bị xâm phạm và làm việc với cơ quan thực thi pháp luật để theo dõi thủ phạm. Loopring kêu gọi bất kỳ ai có thông tin bổ sung về vụ hack chia sẻ với đội ngũ dự án.
Loopring cũng cảnh báo về rủi ro của Loopring Official Guardian có thể bị hacker tấn công và khuyến nghị người dùng nên thiết lập ít nhất ba Guardian.
Tác Động Đến Giá Token LRC
Giá token LRC của Loopring đã giảm khoảng 5% kể từ khi dự án thông báo về vụ tấn công và hiện đang được giao dịch quanh mức 0,22 USD.