Alerta de Seguridad en Taiko
Taiko ha instado a los usuarios a retirar fondos de todos los puentes desplegados en su red, después de confirmar un compromiso en su mecanismo de verificación del estado de la cadena. El proyecto de Ethereum Layer 2 indicó que las suposiciones de seguridad detrás de su sistema de puentes ya no son confiables. Este aviso siguió a las alertas de la firma de seguridad blockchain Blockaid, que informó que su sistema de detección de exploits había encontrado un ataque en curso en el Vault ERC20 de Taiko en Ethereum. Blockaid estimó las pérdidas en más de $1 millón y compartió información sobre el contrato afectado, la billetera del atacante y las transacciones relacionadas con el exploit.
Aviso de Seguridad: Hemos confirmado un compromiso en el mecanismo de verificación del estado de la cadena de Taiko. Como resultado, las suposiciones de seguridad de todos los puentes desplegados en Taiko ya no son confiables. Estamos coordinando activamente con el Consejo de Seguridad y socios del ecosistema para abordar esta situación.
Detalles del Ataque
Blockaid identificó que la probable causa raíz del problema era un defecto en la validación de la prueba de señal de origen del puente de Taiko. La firma explicó que las pruebas de mensajes elaboradas fueron aceptadas como válidas en Ethereum L1, a pesar de que no había eventos legítimos de «MessageSent» coincidentes en la cadena de origen de Taiko. Esto permitió al atacante registrar y recuperar mensajes de puente fraudulentos, lo que resultó en liberaciones no autorizadas de activos del Vault ERC20.
Taiko también confirmó un problema de verificación más amplio y aseguró que estaba trabajando con el Consejo de Seguridad y socios del ecosistema. Además, el proyecto anunció que todos los validadores habían detenido temporalmente la producción de nuevos bloques mientras el equipo investiga y resuelve el problema. Taiko solicitó a los intercambios centralizados que suspendieran inmediatamente los depósitos de TAIKO, indicando que estos deberían reanudarse solo después de un aviso oficial.
Acciones y Recomendaciones
El equipo publicó varias direcciones de los atacantes como parte de su actualización y mencionó que tomaría medidas técnicas y legales donde fuera necesario, aunque no proporcionó un cronograma para restaurar la seguridad del puente o reiniciar la producción de bloques.
Taiko es un rollup ZK-EVM equivalente a Ethereum de Tipo 1, diseñado como un rollup basado, donde se espera que los validadores de Ethereum L1 ayuden a ordenar las transacciones. La red lanzó su mainnet en mayo de 2024 y admite contratos inteligentes y herramientas compatibles con Ethereum.
Contexto del Problema
Mientras tanto, crypto.news informó recientemente que los exploits de puentes entre cadenas causaron pérdidas de $28.6 millones en mayo, lo que representa aproximadamente el 42% del total de pérdidas reportadas por CertiK en ese mes. Este incidente se produce tras otros fallos de seguridad entre cadenas ocurridos este año. Como se informó anteriormente por crypto.news, el puente de Ethereum de Verus Protocol perdió más de $11.5 millones en un exploit de transferencia forjada, mientras que Axelar deshabilitó las rutas del puente de Secret Network después de un exploit de $4.7 millones. Además, un antiguo contrato de Aztec Connect perdió alrededor de $2.1 millones debido a un desajuste de verificación que permitió que saldos no respaldados se movieran a través de los registros de liquidación de Ethereum.
