- Taiko призвала пользователей выводить средства после утечки проверки моста.
- Злоумышленники потратили около 1,7 миллиона долларов после эксплуатации фейковых сообщений на мосту.
- Taiko приостановила производство блоков и потребовала от бирж приостановить приостановку месторождений.
Taiko предупредила пользователей снимать средства со всех мостов после утечки в системе верификации состояния цепи, что нарушает модель доверия, используемая мостами по всей сети. Проект также попросил централизованные биржи приостановить депозиты TAIKO до дальнейшего уведомления.
Blockaid первым отметил атаку, предварительно оценивая убытки выше 1 миллиона долларов. Позже он-чейн-анализ показал, что из протокола вышло примерно $1,7 миллиона активов.
Taiko останавливает производство блоков
Taiko подтвердила , что её механизм верификации состояния цепи был скомпрометирован. Команда заявила, что все мосты, развернутые в сети, должны считаться небезопасными до устранения проблемы.
Проект сотрудничает с Советом Безопасности и партнёрами по экосистеме для сдерживания ущерба и приостановки затронутых систем. Также говорится, что рассматриваются технические и юридические меры.
Все сторонники Taiko временно прекратили производство новых блоков, пока продолжается расследование.
Фейковые сообщения моста вызвали несанкционированные релизы
По данным Blockaid и независимых исследователей, эксплойт был направлен на хранилище ERC20 Taiko на Ethereum. Злоумышленникам удалось сделать так, чтобы фейковые сообщения с бриджа выглядели действительными на Ethereum, несмотря на отсутствие совпадающих событий MessageSent в цепочке Taiko.
Исследователь по безопасности Defi Nerd сообщил, что атака началась с установочной транзакции в 19:03:59 UTC 21 июня на блоке Ethereum 25367938. Выпуск активов происходил между 22:07:23 UTC и 22:18:23 UTC на блоках 25368853 по 25368908.
Сообщается, что злоумышленник зарегистрировал новые экземпляры верификаторов SGX, сохранил контрольную точку и затем использовал это принятое состояние для передачи поддельных сообщений через систему моста. Последовало десять звонков для обработки сообщений, что в итоге позволило снять средства из хранилища ERC20.
Украденные активы включали 675 761,23 USDC, 138 139,56 USDT, 156 832,01 crvUSD, 130 ETH, 20,70 WETH, 0,42 WBTC, 0,53 weETH, 126 160,97 CRV, 2,14 миллиона токенов iZi и 1,99 миллиона TAIKO.
Исследователи безопасности заявили, что само хранилище ERC20 не является коренной проблемой. Проблема возникла в пути проверки доказательств, который принимал поддельные сообщения.
Средства начинают поступать на биржи
Lookonchain сообщил, что злоумышленник уже перевёл MEXC 1,99 миллиона TAIKO, стоимостью около 189 000 долларов. Кошелёк всё ещё содержит 870,8 ETH стоимостью примерно в $1,52 миллиона.
Этот инцидент добавляет ещё одну крупную утечку к месяцу, в течение которого уже произошло более 20 криптовзломов. Несмотря на эксплойт, TAIKO ненадолго выросла на 11,5% за последние 24 часа, поднявшись с примерно $0,087 до $0,097, прежде чем вернуть прибыль. Токен торгуется примерно с $0.0853 на момент публикации.
Связанно: эксплойт протокола Humanity затягивается в последний момент, когда токен H рухнул на 99,9%
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
