Taiko остановила производство блоков и посоветовала пользователям забрать свои средства после атаки на мост, в результате которой потери оценивались в 1,7 миллиона долларов США.
Как развивалась атака
Злоумышленник манипулировал процессом генерации доказательств моста, создавая поддельные запросы на вывод средств, которые выглядели действительными на Ethereum, но при этом не имели соответствующих депозитов в собственной цепочке Тайко. Воспользовавшись ключом подписи системы Raiko, который был случайно опубликован на GitHub, хакер смог зарегистрировать мошеннический вывод средств и перекачать активы из хранилища токенов моста.
Предварительный анализ BlockSec связывает нарушение с общедоступным ключом подписи анклава Raiko SGX, который должен был оставаться запечатанным в защищенном оборудовании. Имея доступный ключ, злоумышленник может выдать себя за законного проверяющего, подписать обманные доказательства и убедить проверяющего Тайко выпустить реальные активы на Ethereum.
Влияние на инвесторов и рынок криптовалют
После инцидента цена токена Taiko кратковременно упала, поскольку инвесторы переоценили состояние безопасности сети. Более широкий крипторынок отметил этот эксплойт как напоминание о рисках, связанных с межцепочными мостами, что побудило более пристальное внимание к аналогичным решениям уровня 2.
Команда Тайко в ответ заморозила исходящие потоки и призвала пользователей вывести свои активы, одновременно работая над исправлением уязвимости и восстановлением доверия среди инвесторов и сообщества блокчейнов.