Кризис безопасности в проекте Taiko
Проект Taiko призвал пользователей вывести средства из всех мостов, развернутых в его сети, после подтверждения компрометации механизма проверки состояния цепи. Taiko, являющийся решением второго уровня для Ethereum, заявил, что безопасность его мостовой системы больше не может быть гарантирована. Это уведомление последовало после предупреждений от компании по безопасности блокчейнов Blockaid, которая сообщила о продолжающейся атаке на ERC20 Vault Taiko на Ethereum. Blockaid оценил убытки более чем в $1 миллион и предоставил информацию о контракте жертвы, кошельке атакующего и транзакциях эксплуатации.
Подтверждение компрометации
В уведомлении о безопасности Taiko подтвердил компрометацию механизма проверки состояния цепи, что ставит под угрозу безопасность всех мостов, развернутых на платформе. Команда активно координирует действия с Советом по безопасности и партнерами экосистемы для решения возникшей проблемы.
Blockaid указал, что вероятной причиной инцидента является ошибка в валидации доказательства исходного сигнала моста Taiko. Специально подготовленные доказательства сообщений принимались как действительные на Ethereum L1, даже если не было соответствующих законных событий «MessageSent» на исходной цепи Taiko.
Это позволило атакующему зарегистрировать и позже получить мошеннические сообщения моста, что привело к несанкционированному выпуску активов из ERC20 Vault.
Меры по устранению проблемы
Taiko также подтвердила наличие более широкой проблемы верификации и сообщила, что работает с Советом по безопасности и партнерами экосистемы. Более того, проект временно приостановил создание новых блоков, пока команда расследует и решает проблему. Taiko призвала централизованные биржи немедленно приостановить депозиты TAIKO, заявив, что они могут быть возобновлены только после официального уведомления.
Команда Taiko опубликовала несколько адресов атакующих в рамках своего обновления и заявила, что предпримет технические и юридические шаги, где это необходимо, однако не указала сроки восстановления безопасности моста или перезапуска производства блоков.
Контекст инцидента
Taiko является ZK-EVM rollup первого типа, эквивалентным Ethereum, разработанным как базовый rollup, где ожидается, что валидаторы Ethereum L1 помогут упорядочить транзакции. Сеть запустила основную сеть в мае 2024 года и поддерживает совместимые с Ethereum смарт-контракты и инструменты.
Тем временем, crypto.news недавно сообщила, что эксплуатации кросс-цепочных мостов привели к убыткам в $28,6 миллиона в мае, что составляет около 42% от общего объема, о котором сообщила CertiK. Этот инцидент произошел после других сбоев безопасности кросс-цепей в этом году. Как ранее сообщалось, мост Ethereum протокола Verus потерял более $11,5 миллиона в результате эксплуатации подделки перевода, в то время как Axelar отключил маршруты моста Secret Network после эксплуатации на сумму $4,7 миллиона. Более того, старый контракт Aztec Connect потерял около $2,1 миллиона после несоответствия верификации, которое позволило неподкрепленным балансам перемещаться через записи расчетов Ethereum.
