摘要:Taiko确认其链状态验证机制存在严重缺陷,导致跨链桥接系统面临资产被盗风险。安全机构Blockaid指出攻击者已通过伪造证明非法提取超百万美元资产,项目方已暂停区块生成并敦促用户立即撤离资金。
币圈界报道:
Taiko因验证机制缺陷宣布全面资金撤离指令
在确认其链状态验证逻辑存在可被利用的漏洞后,Taiko官方已向所有用户发出紧急通知,要求从部署于该网络的所有跨链桥接中立即撤回资金。
核心安全假设已被破坏,系统信任基础动摇
据安全研究机构Blockaid披露,此次事件源于Taiko在以太坊主网上部署的ERC20金库所采用的源信号证明验证流程存在重大缺陷。攻击者仅需构造虚假的消息证明,即可绕过正常审计流程,在以太坊L1上被误判为有效,从而实现对金库资产的未经授权提取。
该机构监测到持续性攻击行为,并估算损失金额已突破100万美元。相关受害合约地址、攻击者钱包及交易哈希已被公开,供社区追踪与分析。
技术缺陷暴露:无效事件亦可获验证
Blockaid进一步指出,问题根源在于验证逻辑未正确校验源链是否存在对应的合法“MessageSent”事件。这意味着即便原链无此消息,恶意构造的证明仍能在目标链上通过验证,构成实质性安全缺口。
Taiko团队随后证实了这一根本性缺陷,并启动应急响应机制。目前,所有提议者节点已停止新区块生成,同时要求各中心化交易所立即冻结TAIKO代币的充值功能,直至官方发布恢复通知。
项目方虽公布了部分攻击者地址,并表示将视情况采取技术和法律手段追责,但尚未公布修复完成时间或系统重启计划。
跨链风险持续升温,行业安全形势严峻
Taiko作为一类以太坊等效的ZK-EVM Rollup,自2024年5月上线主网以来,致力于提供兼容性高、安全性强的去中心化执行环境。其架构依赖以太坊L1验证者进行交易排序与状态确认。
然而,近期数据显示,5月份全球跨链桥接漏洞造成的经济损失高达2860万美元,占当月总损失的42%。此前,Verus协议因伪造转账漏洞损失逾1150万美元,Axelar则因470万美元漏洞暂时关闭了Secret Network的桥接通道。另有一旧版Aztec Connect合约因验证不一致,导致约210万美元未背书余额被错误转移。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。