Команда L2-решения Taiko сообщила о серьезной компрометации механизма верификации состояния сети, которая поставила под угрозу безопасность всех мостов, работающих в экосистеме проекта. Пользователям рекомендовано срочно вывести средства, а криптовалютным биржам — временно приостановить прием депозитов токена TAIKO.
В официальном заявлении разработчики отметили, что после инцидента существующим гарантиям безопасности мостов больше нельзя полностью доверять. Команда проекта совместно с советом по безопасности и партнерами экосистемы проводит расследование, локализует последствия атаки и работает над устранением уязвимости.
Кроме того, представители Taiko обратились к централизованным биржам с просьбой временно прекратить прием депозитов TAIKO до публикации официального сообщения о полном устранении угрозы.
По данным специалистов PeckShield, в результате атаки злоумышленник смог вывести активы примерно на $1,7 млн. Часть похищенных средств — около 1,99 млн токенов TAIKO стоимостью порядка $189 тыс. — уже была переведена на криптобиржу MEXC.
Предварительный анализ экспертов BlockSec указывает на возможную компрометацию ключа подписи SGX enclave, который используется для подтверждения корректности вычислений в сети Taiko.
По версии аналитиков, злоумышленник получил возможность выдавать собственные серверы за доверенные узлы сети и формировать поддельные криптографические доказательства. Система воспринимала такие подтверждения как легитимные, что позволило атакующему обмануть межсетевой мост и инициировать выпуск активов Ethereum без реального обеспечения.
Фактически злоумышленник смог создать фальшивые подтверждения состояния сети, благодаря которым смарт-контракт выпустил активы, не подкрепленные соответствующими средствами на другой стороне моста.
Инцидент вновь привлек внимание к вопросам безопасности решений второго уровня и межсетевых мостов, которые остаются одной из наиболее уязвимых частей криптовалютной инфраструктуры. В настоящее время команда Taiko продолжает расследование и готовит дополнительные меры по защите пользователей.

