Loopling通过Guardian服务漏洞遭受500万美元黑客攻击

周日，基于以太坊的ZK汇总协议Loopling面临重大安全漏洞，导致500万美元损失。黑客利用了Loopling的Guardian钱包恢复服务中的一个漏洞，破坏了双因素身份验证（2FA）过程，并允许未经授权的资产转移。

黑客如何利用Loopling的2FA

Guardian服务允许用户为安全任务指定可信钱包，例如锁定受损钱包或在种子短语丢失时恢复钱包。黑客绕过了这项服务，由一名监护人发起未经授权的钱包追回。通过破坏Loopling的2FA服务，黑客冒充钱包所有者，获得恢复、重置所有权和从受影响钱包中提取资产的批准。缺乏多重或第三方监护人的钱包是主要目标。

Loopling的响应

Loopling已经确定了两个与此次入侵有关的钱包地址，其中一个钱包从被入侵的账户中消耗了约500万美元。链上数据表明被盗资产已被交换到以太坊（ETH）。作为回应，Loopling已暂停与Guardian相关和2FA相关的操作，以保护用户。

该公司表示：“Loopling正在与执法部门和专业安全团队合作，追踪肇事者。一旦调查进展，我们将继续提供最新情况。”。该公司与Mist安全专家合作，确定如何破坏他们的2FA服务。

对Loopling的安全性和信任的启示

该事件引发了对Loopring钱包服务安全性的担忧，Loopring的钱包服务此前被称为“以太坊最安全的钱包”。Loopring风险披露声明将Guardian服务确定为潜在的攻击向量，并建议用户识别至少三名监护人。黑客入侵后，Loopling的原生代币下跌了约5%，创下了四个月来的新低。

此次攻击发生在CoinGecko的数据泄露后不久，通过第三方电子邮件服务提供商泄露了近200万个联系人。虽然CoinGecko的事件没有涉及财务损失，但它突显了加密生态系统更广泛的安全漏洞漏洞。

智能钱包安全专家意见

这一漏洞加强了对智能钱包技术的审查，这些技术在以太坊社区越来越受欢迎。Vitalik Buterin等知名人士和Coinbase等组织支持这项技术，并有望参与即将推出的Pectra硬分叉。然而，Loopling事件引发了人们的谨慎呼声。

去中心化倡导者Chris Blec表示，“智能钱包还没有为黄金时段做好准备”，建议用户坚持使用安全的种子短语。同样，DigitalX研究主管Pratik Kala评论道，“新的攻击载体伴随着新的技术。随着时间的推移，我们会克服它，但要安全，并使用硬件钱包获取重要资产。”

结论

Loopling利用其Guardian钱包恢复服务遭到500万美元的黑客攻击，凸显了其2FA过程中的关键安全缺陷。Loopling已暂停Guardian和2FA的运营，并正在调查违规行为。这起事件以及CoinGecko最近发生的数据泄露事件突显了加密生态系统中持续存在的安全挑战。专家建议谨慎使用智能钱包技术，并建议使用硬件钱包等更安全的选项。