在桥接攻击导致估计损失 170 万美元后,Taiko 停止了区块生产并建议用户撤回资金。
攻击是如何展开的
攻击者操纵了桥的证明生成过程,创建了伪造的提款请求,这些请求在以太坊上看似有效,但在 Taiko 自己的链上缺乏相应的存款。通过利用无意中在 GitHub 上发布的 Raiko 系统的签名密钥,黑客能够注册欺诈性提款,并从桥的代币库中窃取资产。
BlockSec 的初步分析将此次泄露与公开暴露的 Raiko SGX enclave 签名密钥联系起来,该密钥本应密封在安全硬件中。有了密钥,攻击者就可以冒充合法证明者,签署欺骗性证明,并说服 Taiko 的验证者在以太坊上释放真实资产。
对投资者和加密货币市场的影响
事件发生后,随着投资者重新评估网络的安全状况,Taiko 代币的价格经历了短期下跌。更广泛的加密市场指出,这一漏洞提醒人们注意与跨链桥相关的风险,从而促使人们对类似的 Layer2 解决方案进行更严格的审查。
Taiko 团队的回应是冻结出站流量并敦促用户撤回所持股份,同时努力修复漏洞并恢复投资者和区块链社区的信心。