- 仮想通貨LRCの背後にあるLoopringは、最近、EthereumのZK-rollupプロトコルに基づくGuardianウォレット回復サービスの二要素認証に関するセキュリティ脆弱性を公表しました。
- このセキュリティの欠陥を悪用され、約500万ドル相当の資産が盗まれました。
- ブロックチェーンデータがLoopringのGuardianサービスで保護されたウォレットからの不正な大規模トランスファーを示したときに、この事件が明るみに出ました。
かつて高度に安全と宣伝されていたLoopringの「Guardian」機能が、大規模なハッキングの犠牲となり、莫大な損失を引き起こしました。
Guardianウォレット回復サービスにおけるセキュリティ侵害
LoopringはzkEVMプロトコルを「Ethereumの最も安全なウォレット」としてマーケティングしていましたが、最近のGuardian二要素認証サービスの侵害により、この概念が覆されました。このサービスは、ユーザーが信頼できる個人や団体に自分のウォレットを保護させ、ウォレットが侵害された時や回復フレーズが失われた時にロックや回復を行うために設計されていました。
ハッカーが二要素認証を回避
最近の発表では、Loopringは攻撃者が脆弱性を悪用し、ユーザーの同意なく単一のプロテクターによって保護されたウォレットで回復プロセスを開始することができたと述べています。複数のプロテクターや外部の第三者プロテクターを使用しているウォレットはこの侵害を受けなかったとのことで、同社のガイドラインでは、こうしたアクションを開始するためには過半数のプロテクターが必要とされています。
盗まれた資金と即時に取られた行動
このセキュリティ侵害により、約500万ドルのトークンが2つの特定のウォレットアドレスに移動されました。これに対し、LoopringはすべてのGuardian関連のトランザクションと二要素認証プロセスを一時停止し、Mistのブロックチェーンセキュリティの専門家と協力して問題を調査し解決に向けて取り組みました。同社は直ちに取った対策が脆弱性を軽減したとユーザーに保証しました。
「Mistのセキュリティ専門家と積極的に連携し、二要素認証サービスがどのように侵害されたかを理解しようとしています。その間、ユーザー保護を確保するためにGuardianおよび二要素認証関連の取引を一時停止しました」とLoopringは述べています。
市場の反応とさらなる調査
セキュリティインシデントの後、Loopringは法執行機関と協力することを発表し、ハッキングに関するさらなる情報を持っている人々に前に出るよう促しました。この侵害はチームにとって驚きをもたらしたようですが、リスク開示は長い間Guardianサービスの潜在的な脆弱性を認識しており、ユーザーにはセキュリティ強化のために少なくとも3人のガーディアンを設定するようアドバイスしていました。
Loopringのウェブサイトもまた、「中央集権的なサービスとして、Loopringの公式ガーディアンは攻撃者に狙われて侵害される可能性がある」と警告しています。発表後、市場はLoopringのネイティブトークンの価値が24時間以内に約5%下落し、投資家の信頼が揺らいだことを反映しました。
結論
LoopringのGuardianサービスへのハッキングは、仮想通貨分野でのセキュリティの課題が依然として続いていることを示しています。今回の事件に対する同社の迅速な対応、脆弱なサービスの一時停止とセキュリティ専門家との連携は、事件の深刻さを浮き彫りにしています。市場の参加者がさらなるアップデートを待つ中、この出来事はデジタル資産管理において多層的なセキュリティプロトコルの重要性を強く示しています。