Taiko a arrêté la production de blocs et a conseillé aux utilisateurs de retirer leurs fonds après une attaque de pont qui a entraîné une perte estimée à 1,7 million de dollars.
Comment l'attaque s'est déroulée
L'attaquant a manipulé le processus de génération de preuves du pont, créant de fausses demandes de retrait qui semblaient valides sur Ethereum alors qu'il manquait les dépôts correspondants sur la propre chaîne de Taiko. En exploitant une clé de signature pour le système Raiko qui avait été publiée par inadvertance sur GitHub, le pirate informatique a pu enregistrer des retraits frauduleux et siphonner les actifs du coffre-fort de jetons du pont.
L'analyse préliminaire de BlockSec relie la violation à une clé de signature d'enclave Raiko SGX exposée publiquement, qui aurait dû rester scellée dans du matériel sécurisé. Avec la clé accessible, l'attaquant pourrait se faire passer pour un prouveur légitime, signer des preuves trompeuses et convaincre le vérificateur de Taiko de libérer des actifs réels sur Ethereum.
Impact sur les investisseurs et le marché de la cryptographie
À la suite de l'incident, le prix du jeton Taiko a connu une baisse à court terme alors que les investisseurs ont réévalué la sécurité du réseau. Le marché plus large de la cryptographie a noté cet exploit comme un rappel des risques associés aux ponts entre chaînes, ce qui a incité à un examen plus approfondi des solutions similaires de couche 2.
L'équipe de Taiko a réagi en gelant les flux sortants et en exhortant les utilisateurs à retirer leurs avoirs, tout en s'efforçant de corriger la vulnérabilité et de restaurer la confiance des investisseurs et de la communauté blockchain.