Taiko подвергся атаке: потери составляют около $1,7 млн, межсетевой мост и казначейство экстренно приостановлены

22 июня Taiko в X опубликовала предупреждение по безопасности, заявив, что механизм проверки статуса в цепочке Taiko был скомпрометирован: больше нельзя полагаться на все допущения безопасности для кроссчейн-мостов, развернутых в Taiko. Кроссчейн-мост и хранилище (vault) приостановлены; оба направления работы кроссчейн-моста переведены в офлайн. Обрабатываемые транзакции находятся в состоянии паузы, а не потеряны. Blockaid ведёт мониторинг; Taiko понесла потери в ERC20 Vault свыше 1 000 000 долларов.

Экстренные меры Taiko: приостановка мостов, запросы на вывод средств с бирж, раскрытие адреса атакующего

Согласно публичному заявлению Taiko на платформе X, принятые экстренные меры включают:

· Кроссчейн-мост и хранилище приостановлены, средства больше нельзя выводить; мост переведён в офлайн в обоих направлениях;

· Идёт координация с комитетом по безопасности и партнёрами по экосистеме для контроля ситуации и максимально возможной приостановки затронутых систем;

· Срочный запрос ко всем централизованным биржам приостановить депозиты токена TAIKO до получения официального уведомления;

· Адрес атакующего раскрыт;

· Принимаются все необходимые технические и юридические действия.

Taiko также пояснила, что транзакции в ожидании находятся в состоянии паузы, а не потеряны.

Технический механизм атаки по анализу Blockaid: уязвимость в валидации доказательств исходного сигнала

Согласно анализу по результатам безопасного мониторинга Blockaid, техническая первопричина этой атаки заключается в дефекте в валидации доказательств исходного сигнала для кроссчейн-моста Taiko: сконструированное сообщение-пруф принимается как действительное в сети Ethereum L1, без наличия соответствующего законного события MessageSent на исходной цепочке Taiko. Это позволяет атакующему зарегистрировать и извлечь мошеннические кроссчейн-сообщения, что даёт возможность бесконтрольно освободить активы из ERC20 Vault.

Направление движения средств по трекингу PeckShield: ущерб 1,7 миллиона долларов, 1,99 миллиона TAIKO переведены на MEXC

On-chain мониторинг PeckShield показывает, что общий предполагаемый ущерб от атаки Taiko составляет около 1,7 миллиона долларов; атакующий уже перевёл 1,99 миллиона токенов TAIKO (в пересчёте по тогдашней рыночной цене — около 1,89 миллиона долларов) на биржу MEXC. Ранее Blockaid сообщала, что потери ERC20 Vault превышали 1 миллион долларов — это была цифра, раскрытая изначально по событию.

Часто задаваемые вопросы

Будут ли потеряны ожидающие транзакции кроссчейн-моста Taiko?

Согласно официальному заявлению Taiko, ожидающие транзакции находятся в состоянии «пауза», а не потеряны; ожидающие депозиты на вывод у пользователей не исчезли — просто до восстановления работы моста временно невозможно их обработать.

Что пользователям следует сделать прямо сейчас?

Taiko в сообщении «настойчиво рекомендует всем пользователям немедленно вывести средства из всех кроссчейн-мостов, развернутых в Taiko». Поскольку комитет по безопасности приостановил работу моста в обоих направлениях, конкретные шаги зависят от последующих официальных объявлений. В то же время Taiko попросила все централизованные биржи приостановить депозиты токена TAIKO до получения официального уведомления.

Была ли устранена техническая уязвимость, лежащая в основе атаки?

По данным официального сообщения на момент публикации материала, Taiko заявила, что инцидент взят под контроль, а кроссчейн-мост и хранилище приостановлены, но не было объявлено, что уязвимость исправлена, или когда мост возобновит работу. Taiko обещала предоставить дополнительные обновления, когда будет доступна новая информация.