هک شدن لوپرینگ (Loopring): نقص امنیتی در سرویس بازیابی کیف پول
در روز یکشنبه، لوپرینگ (Loopring)، پروتکل zk-Rollup مبتنی بر اتریوم، مورد یک حمله امنیتی بزرگ قرار گرفت. این حادثه منجر به خسارت مالی چند میلیون دلاری شد.
این حمله، سرویس بازیابی کیف پول گاردین (Guardian) را هدف قرار داد و از یک آسیبپذیری در فرآیند تأیید دو عاملی (2FA) سوء استفاده کرد.
دور زدن سرویس گاردین و سوءاستفاده از فرآیند بازیابی کیف پول در لوپرینگ
سرویس گاردین لوپرینگ به کاربران این امکان را میدهد تا کیف پولهای قابل اعتمادی را برای انجام کارهای امنیتی مانند قفل کردن یک کیف پول به خطر افتاده یا بازیابی آن در صورت از دست رفتن عبارت بازیابی (Seed Phrase) تعیین کنند.
اما در این حمله، هکر توانست با دور زدن این سرویس، بازیابی غیرمجاز کیف پول را تنها با یک گاردین آغاز کند.
هکر با به خطر انداختن سرویس تأیید دو عاملی (2FA) لوپرینگ، خود را به جای صاحب کیف پول جا زد. این کار به هکر اجازه داد تا برای فرآیند بازیابی تأییدیه کسب کند، مالکیت کیف پول را بازنشانی کند و داراییها را از کیف پولهای آسیبدیده خارج کند. این سوءاستفاده عمدتاً بر روی کیف پولهایی که فاقد گاردینهای چندگانه یا شخص ثالث بودند، تأثیر گذاشت.
نتیجه گیری:
کار کردن در بازار کریپتو در کنار سودهای کلانی که می تواند داشته باشد خطرات زیادی هم دارد پس برای اینکه بتوانید از سرمایه ی خود در این بازار محافظت کنید لازم است که با علم وآگاهی کافی وارد این بازار شوید.
