曾自诩「最安全」！Loopring 智能钱包遇骇，用户合计损失 5 百万美元

以太坊 Layer2 协议 Loopring 证实，旗下自诩为「最安全以太坊钱包」的智能钱包遭遇漏洞攻击，根据初步估算，受影响用户合计损失 5 百万美元。

Loopring 官方团队透露，部分 Loopring 智能钱包于昨（9）日遭到入侵，且攻击专门针对「仅设有单一监护人（Guardian）」的钱包，其中又以使用「Loopring 官方 Guardian」的钱包为首要攻击目标。

🚨Incident Alert: Loopring Smart Wallets Compromised🚨

A few hours ago, some Loopring Smart Wallets were targeted in a security breach. The attack exploited wallets with only one Guardian, specifically the Loopring Official Guardian. The hacker initiated a Recovery process,… pic.twitter.com/Y9mYC4j9QJ

— Loopring💙 (@loopringorg) June 9, 2024

根据 Cyvers Alerts 监测，Loopring 智能钱包攻击者已将受影响钱包中的资产转移，所有被盗资产全被兑换成以太币，骇客地址目前持有 1373 枚以太币，价值超过 500 万美元。

据介绍，Loopring 用户可透过「Guardian 服务」指定信任的人或机构钱包，以协助进行安全操作，如冻结被盗的钱包或在丢失助记词时恢复钱包存取权。

然而，在这次的攻击事件当中，骇客却设法绕过了 Loopring 自家的官方 Guardian，在未经用户授权的情况下，对「仅设有单一 Guardian 的钱包」发起恢复操作。 Loopring 官网提到，当钱包设有「多个 Guardian」或「第三方 Guardian」时，必须要取得逾半数 Guardian 的同意才能发起交易，因此这部分用户并未受到波及。

至于攻击者何以得逞？Loopring 在贴文中提到，攻击者先是破坏了该协议的双重验证（2FA）服务，然后冒充钱包持有人取得官方 Guardian 的批准以对钱包进行「恢复」，借此取得钱包的控制权，接著再提取钱包内的资产。

Loopring 补充说，为了保护用户，团队暂时停止了 Guardian 服务、 2FA 相关的操作，在采取这些措施后，攻击也随之消停。

Loopring 在后续的贴文中指出，正与慢雾以及其他资安专家和机构合作，继续调查钱包遭攻击事件，以及试图厘清 2FA 服务被破坏的途径和手法。一旦有更多资讯可以分享将尽速向社群更新，安全和用户保护仍然是该团队的首要任务。