Loopling“最安全”的智能钱包被爆500万美元

以太坊第二层网络Loopling周日报告了一次安全漏洞，导致价值500万美元的代币损失。

黑客利用了依赖一个守护者的智能钱包，专门针对Loopling官方守护者。

Loopling在推特上写道：“这次攻击成功地破坏了Loopling的2FA服务，使黑客能够冒充钱包所有者，并获得官方监护人的恢复批准。”。“随后，攻击者将资产从受影响的钱包中转移出去。”

Loopling将其智能钱包描述为“最安全的以太坊钱包”，支持社交恢复、多重签名安全以及与第2层解决方案的集成。

Guardian服务允许用户指定受信任的钱包进行安全操作，如锁定受损钱包或在种子短语丢失时恢复访问。在这次入侵中，黑客绕过了官方的Guardian服务，能够冒充钱包所有者启动恢复过程。

作为对此次攻击的回应，该公司表示，已暂时暂停所有与《卫报》相关和2FA相关的业务，以防止进一步的违规行为。

Loopling还共享了两个钱包地址，声称这些地址被用于此次攻击。区块链数据显示，其中一个钱包消耗了约1373 ETH，价值500万美元。

Loopling的原生代币LRC在消息传出后下跌了2%。

智能钱包应用激增

ERC-4337在以太坊主网上启用账户抽象后，智能钱包获得了越来越多的关注。该更新允许用户根据特定需求定制钱包，包括自动交易、多重签名钱包和社交恢复。

由Vitalik Buterin于2021年9月推出的ERC-4337带来了新的智能钱包功能。Buterin推广了“社会康复”等功能，该功能删除了康复短语。

在ERC-4337之前，一些公司已经率先推出了自己的智能钱包功能。例如，Loopling和Argent早在2020年就开发了自己的智能钱包。最近，Coinbase推出了智能钱包。

虽然智能钱包提高了功能并提供了更好的用户体验，但它们也带来了传统外部账户钱包所没有的新风险和攻击向量。

4月，当EIP-3074被批准纳入以太坊的下一次重大升级Pectra时，以太坊社区的几位关键人物警告说，这些功能可能会使钱包更容易受到诈骗。

Starknet钱包提供商Argent的联合创始人Itamar Lesuisse警告说：“这应该允许骗子用一个链下签名耗尽你的整个钱包。”。“我预计这将是一个主要的用例。”