
Taiko網路的開發者在確認其鏈狀態驗證機制遭到入侵後,已敦促用戶從部署在其以太坊Layer 2區塊鏈上的所有橋接器中提取資金。
在週日發布的安全公告中,該專案表示,所有Taiko橋接器底層的安全假設已不再可靠。團隊表示,他們正在與安全委員會和生態系統合作夥伴協調,以控制事件,在可能的情況下暫停受影響的系統,並尋求技術和法律應對措施。
「我們強烈建議所有用戶立即從Taiko上部署的所有橋接器中提取資金,」該團隊在X上寫道。
Taiko是一個以太坊Layer 2網路,利用零知識Rollup來更有效地處理交易,同時保持與以太坊的兼容性。該網路由前Loopring執行長Daniel Wang共同創立,於2024年5月啟動其主網,作為以太坊擴容器的專用數據儲存。
Taiko未透露此次入侵的原因,也未提供損失估計;然而,根據區塊鏈安全公司BlockSec Phalcon的說法,此次攻擊導致的損失超過170萬美元。在初步分析中,該公司表示,可能的原因是一個暴露的Raiko SGX飛地簽署金鑰,該金鑰曾在GitHub上公開。
BlockSec Phalcon在X上寫道:「由於飛地簽署金鑰是公開的,SGX證明者信任模型可能已被破壞。」「暴露的金鑰可能允許攻擊者透過SgxVerifier.registerInstance註冊攻擊者控制的SGX實例。」
根據BlockSec的說法,攻擊者可能利用受損的驗證者實例生成欺詐性證明,這些證明被Taiko的驗證合約接受。然後,攻擊者使用偽造的訊號註冊了一個假的橋接訊息,並觸發了協議ERC20Vault中基於以太坊資產的釋放。
Taiko的這次漏洞是繼一系列重大加密貨幣攻擊之後發生的。今年4月,攻擊者從KelpDAO的跨鏈橋中竊取了2.92億美元,這次攻擊後來被追溯到朝鮮的拉撒路集團。5月,Echo Protocol披露了一項涉及在Monad上未經授權鑄造價值7,700萬美元eBTC的漏洞,儘管該專案估計實際損失約為81.6萬美元。本月早些時候,Solana生態系統的交易所Raydium在攻擊者利用已棄用的流動性池後,損失了134萬美元。
總計,去中心化金融(DeFi)協議在今年前五個月損失了超過8.4億美元。