Compromission du réseau Taiko
Taiko a exhorté les utilisateurs à retirer leurs fonds de tous les ponts déployés sur son réseau, après avoir confirmé une compromission de son mécanisme de vérification de l’état de la chaîne. Ce projet de Layer 2 sur Ethereum a déclaré que les hypothèses de sécurité sous-jacentes à son système de pont ne pouvaient plus être considérées comme fiables. Cette alerte a été émise suite à des signalements de la société de sécurité blockchain Blockaid, qui a indiqué que son système de détection d’exploit avait détecté une attaque en cours sur le Vault ERC20 de Taiko sur Ethereum. Blockaid a estimé les pertes à plus de 1 million de dollars et a partagé des informations sur le contrat victime, le portefeuille de l’attaquant et les transactions liées à l’exploit.
Avis de sécurité
Nous avons confirmé une compromission du mécanisme de vérification de l’état de la chaîne de Taiko. Par conséquent, les hypothèses de sécurité de tous les ponts déployés sur Taiko ne peuvent plus être considérées comme fiables. Nous travaillons activement avec le Conseil de sécurité et nos partenaires de l’écosystème pour résoudre cette situation.
Blockaid a précisé que la cause probable de cette compromission était un défaut dans la validation de la preuve de signal source du pont Taiko. La société a indiqué que des preuves de message falsifiées avaient été acceptées comme valides sur Ethereum L1, même en l’absence d’événements « MessageSent » légitimes correspondants sur la chaîne source de Taiko. Ce défaut a permis à l’attaquant d’enregistrer et de récupérer ultérieurement des messages de pont frauduleux, entraînant des libérations d’actifs non autorisées du Vault ERC20.
Taiko a également confirmé un problème de vérification plus large et a annoncé qu’il collaborait avec le Conseil de sécurité et ses partenaires de l’écosystème. De plus, tous les proposeurs ont temporairement cessé de produire de nouveaux blocs pendant que l’équipe enquêtait et résolvait le problème. Le projet a demandé aux échanges centralisés de suspendre immédiatement les dépôts de TAIKO, précisant que ceux-ci ne devraient reprendre qu’après un avis officiel.
L’équipe a publié plusieurs adresses d’attaquants dans le cadre de sa mise à jour et a déclaré qu’elle prendrait des mesures techniques et juridiques si nécessaire, sans toutefois fournir de calendrier pour restaurer la sécurité du pont ou redémarrer la production de blocs.
Contexte et impacts
Taiko est un rollup ZK-EVM équivalent à Ethereum de Type 1, conçu comme un rollup basé, où les validateurs Ethereum L1 sont censés aider à ordonner les transactions. Le réseau a lancé son mainnet en mai 2024 et prend en charge des contrats intelligents ainsi que des outils compatibles avec Ethereum.
Par ailleurs, crypto.news a récemment rapporté que les exploits de ponts inter-chaînes avaient causé des pertes de 28,6 millions de dollars en mai, représentant environ 42 % du total des pertes de ce mois, selon CertiK. Cet incident survient après d’autres échecs de sécurité inter-chaînes cette année. Comme l’a précédemment rapporté crypto.news, le pont Ethereum de Verus Protocol a perdu plus de 11,5 millions de dollars dans un exploit de transfert forgé, tandis qu’Axelar a désactivé les routes de pont du Secret Network après un exploit de 4,7 millions de dollars. De plus, un ancien contrat Aztec Connect a perdu environ 2,1 millions de dollars après qu’un décalage de vérification a permis à des soldes non garantis de passer par les enregistrements de règlement Ethereum.
