Taiko安全通知
Taiko已敦促用户从其网络上所有桥接服务中撤回资金,原因是其链状态验证机制遭到破坏。作为以太坊第二层项目,Taiko表示其桥接系统的安全假设不再可靠。此通知是在区块链安全公司Blockaid发出警报后发布的,该公司表示其漏洞检测系统发现Taiko的ERC20 Vault正在遭受攻击。Blockaid估计损失超过100万美元,并分享了受害合约、攻击者钱包和攻击交易的相关信息。
安全假设不再可靠
我们已确认Taiko的链状态验证机制遭到破坏。因此,所有在Taiko上部署的桥接服务的安全假设不再可靠。我们正在与安全委员会和生态系统合作伙伴积极协调。
Blockaid表示,问题的根本原因可能是Taiko桥接源信号证明验证中的一个缺陷。该公司指出,经过精心设计的消息证明在以太坊L1上被接受为有效,尽管在Taiko源链上没有匹配的合法“MessageSent”事件。
攻击者的行为
这一缺陷使得攻击者能够注册并随后检索虚假的桥接消息,导致ERC20 Vault中资产的未经授权释放。Taiko随后确认了更广泛的验证问题,并表示正在与安全委员会和生态系统合作伙伴合作解决此问题。此外,Taiko还表示,所有提案者已暂时停止生成新区块,直到团队调查并解决该问题。
交易所的应对措施
该项目要求中心化交易所立即暂停TAIKO的存款,并表示存款应在发布官方通知后恢复。团队在更新中发布了多个攻击者地址,并表示将在必要时采取技术和法律措施,但未给出恢复桥接安全或重新启动区块生产的时间表。
跨链桥接漏洞的影响
Taiko是一个类型1的以太坊等效ZK-EVM Rollup,设计为基础Rollup,预计以太坊L1的验证者将帮助排序交易。该网络于2024年5月上线主网,支持与以太坊兼容的智能合约和工具。
与此同时,crypto.news最近报道,跨链桥接漏洞在5月造成2860万美元的损失,占该月CertiK报告总损失的约42%。此事件发生在今年其他跨链安全失败之后。正如crypto.news之前报道的,Verus Protocol的以太坊桥接因伪造转账漏洞损失超过1150万美元,而Axelar在遭遇470万美元的攻击后禁用了Secret Network桥接路线。此外,crypto.news早些时候报道,旧版Aztec Connect合约因验证不匹配导致约210万美元的未担保余额通过以太坊结算记录流动。
