Taiko Sikkerhetsvarsel
Taiko har oppfordret brukere til å trekke midler fra alle broer som er implementert på nettverket sitt, etter å ha bekreftet et kompromiss i mekanismen for verifisering av kjedestatus. Ethereum Layer 2-prosjektet opplyste at sikkerhetsforutsetningene bak bro-systemet ikke lenger kan stoles på. Varslet kom etter advarsler fra blockchain-sikkerhetsfirmaet Blockaid, som rapporterte at deres utnyttelsesdeteksjonssystem hadde oppdaget et pågående angrep på Taikos ERC20 Vault på Ethereum. Blockaid anslo tapene til mer enn $1 million og delte informasjon om offerkontrakten, angriperens lommebok og utnyttelsestransaksjoner.
Detaljer om Kompromisset
«Vi har bekreftet et kompromiss i Taikos mekanisme for verifisering av kjedestatus. Som et resultat kan sikkerhetsforutsetningene for alle broer implementert på Taiko ikke lenger stoles på. Vi koordinerer aktivt med Sikkerhetsrådet og økosystempartnere for å håndtere situasjonen.»
Blockaid opplyste at den sannsynlige årsaken var en feil i verifiseringen av Taiko-broens kilde-signalbevis. Firmaet forklarte at konstruerte meldingsbevis ble akseptert som gyldige på Ethereum L1, selv om det ikke var noen samsvarende legitime «MessageSent»-hendelser på Taiko-kildekjeden. Den underliggende årsaken ser ut til å være en feil i verifiseringen av Taiko-broens kilde-signalbevis. Dette tillot angriperen å registrere og senere hente svindelbro-meldinger, noe som førte til uautoriserte utgivelser av eiendeler fra ERC20-vaulten.
Reaksjoner og Tiltak
Taiko bekreftet senere et bredere verifiseringsproblem og sa at de jobbet med Sikkerhetsrådet og økosystempartnere for å løse det. Videre opplyste Taiko at alle foreslåere midlertidig hadde stoppet produksjonen av nye blokker mens teamet undersøker og løser problemet. Prosjektet ba sentraliserte børser om å umiddelbart suspendere TAIKO-innskudd, og sa at innskudd kun skulle gjenopptas etter et offisielt varsel. Teamet publiserte flere angriperadresser som en del av oppdateringen. De opplyste at de ville ta tekniske og juridiske skritt der det var nødvendig, men ga ikke en tidslinje for gjenoppretting av broens sikkerhet eller gjenopptakelse av blokkproduksjon.
Om Taiko
Taiko er en Type 1 Ethereum-ekvivalent ZK-EVM rollup designet som en basert rollup, hvor Ethereum L1-validatorer forventes å hjelpe til med å ordne transaksjoner. Nettverket ble lansert på mainnet i mai 2024 og støtter Ethereum-kompatible smarte kontrakter og verktøy.
Andre Sikkerhetshendelser
I mellomtiden rapporterte crypto.news nylig at utnyttelser av krysskjede-broer forårsaket tap på $28,6 millioner i mai, eller omtrent 42% av det månedens totale rapportert av CertiK. Hendelsen kommer etter andre sikkerhetsfeil på tvers av kjeder i år. Som tidligere rapportert av crypto.news, mistet Verus Protocols Ethereum-bro mer enn $11,5 millioner i en falsk-overføring utnyttelse, mens Axelar deaktiverte Secret Network-bro-ruter etter en utnyttelse på $4,7 millioner. Videre, som crypto.news tidligere rapporterte, mistet en gammel Aztec Connect-kontrakt omtrent $2,1 millioner etter at en verifiseringsfeil lot ubekreftede balanser bevege seg gjennom Ethereum oppgjørsregistre.
