Taiko зазнала атаки, збитки близько 1,7 мільйона доларів; кросчейн-міст і сейф терміново призупинені

Taiko 22 червня в X опублікувала безпекове повідомлення, заявивши, що їй вдалося підтвердити компрометацію механізму верифікації стану ланцюга Taiko, а всі безпекові припущення щодо кросчейн-мостів, розгорнутих на Taiko, більше не можуть покладатися. Кросчейн-мости й сейфи призупинено; кросчейн-мости в обидва боки вже виведено з мережі, а транзакції, що очікують обробки, перебувають у стані паузи, а не втрачені. Blockaid проводить моніторинг; Taiko втратила понад 1 млн доларів у ERC20 Vault.

Аварійні заходи Taiko: призупинення мостів, запити на призупинення депозитів у біржах, оприлюднення адреси атакувальника

Згідно з публічною заявою Taiko на платформі X, уже вжиті невідкладні заходи включають:

· Кросчейн-мости й сейф зупинено, кошти більше не можна витягнути; кросчейн-мости в обидва боки вже офлайн;

· Проводиться координація із безпековим комітетом і партнерами з екосистеми, щоб контролювати ситуацію та максимально призупинити системи, що зазнали впливу;

· Терміново закликають усі централізовані біржі призупинити депозити токена TAIKO до отримання офіційного повідомлення;

· Адресу атакувальника оприлюднено;

· Проводяться всі необхідні технічні та юридичні дії.

Taiko також зазначила, що транзакції, які перебувають у черзі на обробку, перебувають у режимі паузи, а не втрачені.

Технічний механізм атаки за аналізом Blockaid: вразливість верифікації доказів вихідного сигналу

Згідно з безпековим моніторингом Blockaid, технічна першопричина цієї атаки полягає у дефекті верифікації доказів вихідного сигналу в кросчейн-мості Taiko: сконструйоване повідомлення-доказ приймається як валідне на Ethereum L1 без наявності відповідної законної події MessageSent у ланцюзі-вихіднику Taiko. Це дало змогу атакувальнику зареєструвати та витягнути шахрайські кросчейн-повідомлення, що дозволило без авторизації вивільнити активи з ERC20 Vault.

Напрям руху коштів за трекінгом PeckShield: збитки 1,7 млн доларів, 1,99 млн токенів TAIKO вже переказано на MEXC

Ончейн-моніторинг PeckShield показує, що загальні збитки від події атаки Taiko становлять приблизно 1,7 млн доларів; атакувальник уже перевів 1,99 млн токенів TAIKO (за тодішньою ринковою ціною близько 189 тис. доларів) на біржу MEXC. Раніше Blockaid повідомляла, що втрати ERC20 Vault перевищили 1 млн доларів — це була початкова цифра, оприлюднена на момент інциденту.

Поширені запитання

Чи буде втрачено транзакції, що очікують обробки, у кросчейн-мості Taiko?

За офіційною заявою Taiko, транзакції, що очікують обробки, перебувають у стані «паузи», а не втрачаються; відкладені для зняття кошти користувачів не зникли, а тимчасово не можуть бути оброблені, доки не відновиться робота мосту.

Які дії користувачам слід вжити негайно зараз?

У повідомленні Taiko «настійно рекомендує всім користувачам негайно витягнути кошти з усіх деплойованих на Taiko кросчейн-мостів». Оскільки безпековий комітет уже зупинив роботу мостів у обидва боки, конкретні кроки залежать від подальших офіційних оголошень. Водночас Taiko попросила всі централізовані біржі призупинити депозити токена TAIKO до отримання офіційного повідомлення.

Чи виправлено технічну вразливість цієї атаки?

Згідно з офіційним повідомленням станом на час публікації матеріалу, Taiko заявляє, що інцидент взято під контроль, а кросчейн-мости й сейф призупинено, але ще не повідомляло, що вразливість виправлена, і коли буде відновлено міст. Taiko пообіцяла надати додаткові оновлення, коли буде доступно більше інформації.