Taiko suspend son réseau Ethereum layer-2 après une faille de pont, le token plonge

Un attaquant a falsifié des preuves de retrait pour siphonner environ 1,7 million de dollars, le même type de faille à l'origine des plus grandes attaques sur des ponts cette année. Une containment rapide a permis de limiter les dégâts.

Hacker sitting in a room (Clint Patterson/Unsplash)
Summary
  • Taiko, un réseau Ethereum de couche 2, a interrompu la production de blocs et a exhorté les utilisateurs à retirer leurs fonds après qu'un attaquant ait exploité son pont pour voler environ 1,7 million de dollars.
  • L'attaquant a falsifié des preuves inter-chaînes de sorte que les demandes de retrait frauduleuses ont été acceptées sur Ethereum sans dépôts correspondants sur Taiko, vidant ainsi le pont et sa réserve de tokens avant que l'équipe ne gèle l'activité.
  • Bien que la perte en dollars ait été relativement faible, l’exploitation a utilisé la même faille de messagerie inter-chaînes à l’origine de plus de 340 millions de dollars de piratages de ponts cette année, et Taiko a annoncé qu’elle publiera un rapport complet sur l’incident.

Taiko, un réseau Ethereum de couche 2, a interrompu la production de blocs et a demandé aux utilisateurs de retirer leurs fonds après qu’un attaquant a exploité sa passerelle plus tôt lundi.

L'équipe a estimé les pertes à environ 1,7 million de dollars avant d'arrêter les sorties. Le token TAIKO de la chaîne, qui présente une capitalisation boursière de 14,5 millions de dollars, a chuté de plus de 20 % depuis minuit UTC.

L'attaquant a réussi à falsifier les preuves qu'un pont utilise pour confirmer qu'un retrait correspond à un dépôt réel. Des demandes de retrait frauduleuses ont été acceptées sur Ethereum sans aucune transaction correspondante sur la chaîne de Taiko, ce qui a permis à l'attaquant d'enregistrer des retraits frauduleux et de vider les fonds du pont et de sa réserve de jetons, a déclaré Taiko.

Les ponts sont des outils basés sur la blockchain qui permettent de transférer des actifs entre différentes chaînes, dans ce cas, Taiko et Ethereum. Les blockchains de couche 2 traitent les transactions en dehors de la chaîne principale et les règlent ensuite sur celle-ci, afin d'offrir un service plus rapide et moins coûteux que le système hôte.

La capacité de l’attaquant à forger des preuves d’apparence valide indique qu’il aurait pu avoir accès à une clé divulguée.

Société de sécurité BlockSec a déclaré son enquête initiale a attribué la cause probable à une clé de signature pour Raiko, que Taiko utilise pour produire des preuves attestant de la validité d’une transaction, et qui avait été laissée accessible publiquement sur GitHub.

La clé est destinée à rester scellée à l'intérieur d'un matériel sécurisé afin que les preuves puissent être fiables. Si elle est exposée, des attaquants peuvent inscrire leurs propres validateurs comme légitimes et signer des preuves frauduleuses que le vérificateur de Taiko accepterait, puis simuler un retrait via le pont qui libérerait de vrais actifs sur Ethereum.

Taiko a exhorté tous les utilisateurs à effectuer des retraits sur tous les ponts du réseau, a demandé aux échanges centralisés de suspendre les dépôts de son token TAIKO, et a demandé à ses producteurs de blocs de cesser de créer de nouveaux blocs pendant l'enquête.

Vers environ 2 heures du matin, heure de l’Est, Taiko a annoncé que l’exploitation malveillante avait été contenue et que les retraits via le pont principal et le coffre de tokens avaient été interrompus. L’exploiteur avait déjà transféré environ 2 millions de TAIKO, d’une valeur approximative de 170 000 dollars, vers un compte sur la plateforme MEXC.

La perte en dollars est faible, mais la faille provient du même mécanisme DeFi qui a causé des pertes de plusieurs centaines de millions cette année.

Des messages inter-chaînes falsifiés ont drainé 292 millions de dollars du pont de Kelp DAO en avril et 11,4 millions de dollars du pont Verus-Ethereum en mai. Les ponts ont engendré plus de 340 millions de dollars de pertes à la suite d'au moins 14 exploits en 2026, ce qui en fait la cible la plus coûteuse dans le domaine de la crypto. Les dégâts chez Taiko sont restés contenus principalement parce que l'équipe a détecté et gelé l'attaque en quelques heures.

Taiko, qui a démarré sur Ethereum en mai 2024, a déclaré qu'elle préparait une analyse complète de l'incident.

ER June 2026 Image

CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.

Pourquoi c'est important:

CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.