Taiko Advarer Brugere om Sikkerhedskomplikationer
Taiko har opfordret brugere til at trække deres midler tilbage fra alle broer, der er implementeret på deres netværk, efter at de har bekræftet et kompromis i deres kæde-status verifikationsmekanisme. Ethereum Layer 2-projektet meddelte, at sikkerhedsforudsætningerne bag deres bro-system ikke længere kan stole på. Meddelelsen kom efter advarsler fra blockchain-sikkerhedsfirmaet Blockaid, som oplyste, at deres udnyttelsesdetektionssystem havde registreret et igangværende angreb på Taikos ERC20 Vault på Ethereum. Blockaid vurderede tabene til at overstige $1 million og delte oplysninger om den berørte kontrakt, angriberens tegnebog og udnyttelsestransaktioner.
Sikkerhedsmeddelelse
Vi har bekræftet et kompromis i Taikos kæde-status verifikationsmekanisme. Som følge heraf kan sikkerhedsforudsætningerne for alle broer, der er implementeret på Taiko, ikke længere stole på. Vi koordinerer aktivt med Sikkerhedsrådet og økosystempartnere for at…
Blockaid angav, at den sandsynlige rodårsag var en fejl i Taiko-broens kilde-signal bevisvalidering. Firmaet forklarede, at konstruerede meddelelsesbeviser blev accepteret som gyldige på Ethereum L1, selvom der ikke var nogen matchende legitime “MessageSent” begivenheder på Taiko-kildekæden.
Rodårsagen ser ud til at være en fejl i Taiko-broens kilde-signal bevisvalidering. Konstruerede meddelelsesbeviser blev accepteret som gyldige på Ethereum L1 uden tilsvarende legitime “MessageSent” begivenheder på Taiko-kildekæden. Dette gjorde det muligt for angriberen at registrere og senere hente svigagtige bro-meddelelser, hvilket førte til uautoriserede aktiverfrigivelser fra ERC20 Vault. Taiko bekræftede senere et bredere verifikationsproblem og meddelte, at de arbejdede sammen med Sikkerhedsrådet og økosystempartnere.
Desuden oplyste Taiko, at alle forslagere midlertidigt havde stoppet produktionen af nye blokke, mens teamet undersøger og løser problemet. Projektet bad centraliserede børser om straks at suspendere TAIKO-indskud og sagde, at indskud kun skulle genoptages efter en officiel meddelelse. Teamet offentliggjorde flere angriberadresser som en del af deres opdatering. De meddelte, at de ville tage tekniske og juridiske skridt, hvor det var nødvendigt, men gav ikke en tidslinje for genoprettelse af bro-sikkerhed eller genstart af blokproduktion.
Baggrund om Taiko
Taiko er en Type 1 Ethereum-ækvivalent ZK-EVM rollup designet som en baseret rollup, hvor Ethereum L1-validatorer forventes at hjælpe med at ordne transaktioner. Netværket lancerede sit mainnet i maj 2024 og understøtter Ethereum-kompatible smarte kontrakter og værktøjer.
I mellemtiden rapporterede crypto.news for nylig, at udnyttelser af tværkædebroer forårsagede tab på $28,6 millioner i maj, hvilket udgør cirka 42% af den månedlige total rapporteret af CertiK. Hændelsen kommer efter andre tværkæde sikkerhedsfejl i år. Som tidligere rapporteret af crypto.news mistede Verus Protocols Ethereum-bro mere end $11,5 millioner i en falsk-overførsel udnyttelse, mens Axelar deaktiverede Secret Network-bro-ruter efter en $4,7 millioner udnyttelse. Desuden, som crypto.news tidligere rapporterede, mistede en gammel Aztec Connect-kontrakt omkring $2,1 millioner efter en verifikationsmismatch, der tillod ubekræftede saldi at bevæge sig gennem Ethereum afregningsoptegnelser.
