
توسعهدهندگان شبکه تایکو پس از تأیید به خطر افتادن مکانیسم تأیید وضعیت زنجیرهاش، از کاربران خواستهاند تا وجوه خود را از تمام بریجهای (پلهای) مستقر در بلاکچین لایه دوم اتریوم خود برداشت کنند.
در یک اطلاعیه امنیتی که روز یکشنبه منتشر شد، این پروژه اعلام کرد که دیگر نمیتوان به فرضیات امنیتی زیربنایی تمام بریجهای تایکو اعتماد کرد. این تیم گفت که در حال هماهنگی با شورای امنیت و شرکای اکوسیستم خود برای مهار حادثه، توقف سیستمهای آسیبدیده در صورت امکان، و پیگیری واکنشهای فنی و حقوقی است.
این تیم در پلتفرم X نوشت: «ما قویاً به همه کاربران توصیه میکنیم که فوراً وجوه خود را از تمام بریجهای مستقر در تایکو برداشت کنند.»
تایکو یک شبکه لایه دوم اتریوم است که از رولآپهای دانش صفر (zero-knowledge rollups) برای پردازش کارآمدتر تراکنشها و در عین حال حفظ سازگاری با اتریوم استفاده میکند. این شبکه که توسط دانیل وانگ، مدیرعامل سابق لوپرینگ، بنیانگذاری شده است، شبکه اصلی خود را در می ۲۰۲۴ به عنوان ذخیرهسازی داده اختصاصی برای مقیاسپذیرهای اتریوم راهاندازی کرد.
تایکو علت این نفوذ را فاش نکرد و برآوردی از ضرر و زیان ارائه نداد؛ با این حال، طبق گفته شرکت امنیت بلاکچین BlockSec Phalcon، این حمله منجر به ضررهای بیش از ۱.۷ میلیون دلار شد. در یک تحلیل اولیه، این شرکت گفت که علت احتمالی، یک کلید امضای Raiko SGX enclave بود که در GitHub به صورت عمومی قابل دسترسی بود.
BlockSec Phalcon در X نوشت: «از آنجایی که کلید امضای enclave به صورت عمومی قابل دسترسی بود، مدل اعتماد SGX prover ممکن است شکسته شده باشد.» «کلید در معرض دید ممکن است به مهاجم اجازه داده باشد تا نمونههای SGX کنترلشده توسط مهاجم را از طریق SgxVerifier.registerInstance ثبت کند.»
به گفته BlockSec، مهاجمان ممکن است از نمونههای تأییدکننده به خطر افتاده برای تولید اثباتهای جعلی استفاده کرده باشند که توسط قراردادهای تأیید تایکو پذیرفته شده است. سپس مهاجم از یک سیگنال جعلی برای ثبت یک پیام پل (بریج) تقلبی استفاده کرد و باعث آزادسازی داراییهای مبتنی بر اتریوم از ERC20Vault پروتکل شد.
نفوذ به تایکو پس از مجموعهای از حملات بزرگ در حوزه کریپتو رخ میدهد. در ماه آوریل، مهاجمان ۲۹۲ میلیون دلار از بریج (پل) کراس-چین KelpDAO را در حملهای که بعداً به گروه لازاروس کره شمالی مرتبط شد، به سرقت بردند. در ماه می، پروتکل اکو از نفوذی شامل ضرب غیرمجاز ۷۷ میلیون دلار eBTC در Monad خبر داد، اگرچه پروژه ضررهای واقعی را حدود ۸۱۶,۰۰۰ دلار تخمین زد. اوایل این ماه، صرافی رییدیوم مبتنی بر سولانا ۱.۳۴ میلیون دلار را پس از بهرهبرداری مهاجمان از استخرهای نقدینگی منسوخ شده، از دست داد.
در مجموع، پروتکلهای دیفای در پنج ماه اول سال بیش از ۸۴۰ میلیون دلار ضرر کردند.