Deweloperzy sieci Taiko wezwali użytkowników do wycofania środków ze wszystkich mostów rozmieszczonych na jej blockchainie Ethereum warstwy 2 po potwierdzeniu naruszenia jego mechanizmu weryfikacji stanu łańcucha.

W komunikacie bezpieczeństwa opublikowanym w niedzielę, projekt stwierdził, że założenia bezpieczeństwa leżące u podstaw wszystkich mostów na Taiko nie mogą już być uznawane za wiarygodne. Zespół oświadczył, że koordynuje działania z Radą Bezpieczeństwa i partnerami ekosystemu w celu opanowania incydentu, wstrzymania dotkniętych systemów tam, gdzie to możliwe, oraz podjęcia działań technicznych i prawnych.

„Zdecydowanie zalecamy wszystkim użytkownikom natychmiastowe wycofanie swoich środków ze wszystkich mostów rozmieszczonych na Taiko” – napisał zespół na platformie X.

Taiko to sieć warstwy 2 Ethereum, która wykorzystuje złożeń typu zero-knowledge (zero-knowledge rollups) do efektywniejszego przetwarzania transakcji, pozostając jednocześnie kompatybilna z Ethereum. Sieć, współzałożona przez byłego CEO Loopring Daniela Wanga, uruchomiła swój mainnet w maju 2024 roku jako dedykowane repozytorium danych dla skalatorów Ethereum.

Taiko nie ujawniło przyczyny naruszenia ani nie podało szacunków strat; jednakże, według firmy zajmującej się bezpieczeństwem blockchain BlockSec Phalcon, atak spowodował straty przekraczające 1,7 miliona dolarów. We wstępnej analizie firma stwierdziła, że prawdopodobną przyczyną był ujawniony klucz podpisu enklawy Raiko SGX, który był publicznie dostępny na GitHubie.

„Ponieważ klucz podpisu enklawy był publicznie dostępny, model zaufania modułu dowodzącego SGX mógł zostać złamany” – napisało BlockSec Phalcon na platformie X. „Ujawniony klucz mógł umożliwić atakującemu rejestrowanie kontrolowanych przez atakującego instancji SGX poprzez SgxVerifier.registerInstance.”

Według BlockSec, atakujący mogli wykorzystać skompromitowane instancje weryfikatorów do generowania fałszywych dowodów, które zostały zaakceptowane przez kontrakty weryfikacyjne Taiko. Następnie atakujący użył sfałszowanego sygnału, aby zarejestrować fałszywą wiadomość mostową i wywołać uwolnienie aktywów opartych na Ethereum z protokołu ERC20Vault.

Naruszenie Taiko jest kolejnym z serii poważnych exploitów kryptowalutowych. W kwietniu atakujący ukradli 292 miliony dolarów z mostu cross-chain KelpDAO w ataku, który później został powiązany z północnokoreańską grupą Lazarus. W maju Echo Protocol ujawnił naruszenie związane z nieautoryzowanym wybiciem eBTC o wartości 77 milionów dolarów na Monad, choć projekt oszacował rzeczywiste straty na około 816 000 dolarów. Na początku tego miesiąca giełda Raydium oparta na Solanie straciła 1,34 miliona dolarów po tym, jak atakujący wykorzystali przestarzałe pule płynności.

Łącznie, protokoły DeFi straciły ponad 840 milionów dolarów w pierwszych pięciu miesiącach roku.