Taiko приостанавливает работу своего Ethereum layer-2 сети после взлома моста, токен резко падает

Атакующий подделал подтверждения вывода средств, чтобы вывести около 1,7 миллиона долларов — тот же тип уязвимости, что и в крупнейших взломах мостов этого года. Быстрое реагирование позволило минимизировать ущерб.

Hacker sitting in a room (Clint Patterson/Unsplash)
Summary
  • Taiko, сеть уровня 2 Ethereum, приостановила производство блоков и призвала пользователей снять средства после того, как злоумышленник воспользовался уязвимостью в её мосту, похитив около 1,7 миллиона долларов.
  • Злоумышленник подделал кросс-чейн доказательства, в результате чего на Ethereum были приняты фальшивые запросы на вывод средств без соответствующих депозитов на Taiko, что привело к истощению моста и его хранилища токенов до того, как команда приостановила деятельность.
  • Хотя долларовые потери были относительно небольшими, эксплойт использовал ту же уязвимость в межцепочечной передачи сообщений, которая лежит в основе более чем 340 миллионов долларов взломов мостов в этом году, и Taiko заявила, что выпустит полный отчет по инциденту.

Taiko, сеть уровня 2 для Ethereum, приостановила производство блоков и рекомендовала пользователям вывести свои средства после того, как в понедельник злоумышленник воспользовался уязвимостью в её мосте.

Команда оценила убытки примерно в 1,7 миллиона долларов до того, как остановила отток средств. Токен TAIKO цепочки, рыночная капитализация которого составляет 14,5 миллиона долларов, упал более чем на 20% с полуночи по всемирному координированному времени (UTC).

Злоумышленник смог подделать доказательства, которые мост использует для подтверждения того, что вывод средств соответствует реальному депозиту. Фальшивые запросы на вывод были приняты в сети Ethereum без каких-либо совпадающих транзакций в цепочке Taiko, что позволило злоумышленнику зарегистрировать мошеннические выводы и вывести средства из моста и его токенового хранилища, сообщили в Taiko.

Мосты — это инструменты на основе блокчейна, которые перемещают активы между разными цепочками, в данном случае Taiko и Ethereum. Блокчейны второго уровня (Layer-2) обрабатывают транзакции вне основной цепочки и затем подтверждают их обратно в неё, обеспечивая более быструю и дешевую работу по сравнению с базовой системой.

Способность злоумышленника подделывать доказательства, выглядящие достоверно, свидетельствует о возможном доступе к скомпрометированному ключу.

Компания по обеспечению безопасности BlockSec заявил первоначальное расследование выявило вероятную причину в виде ключа подписи для Raiko, который Taiko использует для создания доказательств подлинности транзакции, и который был оставлен общедоступным на GitHub.

Ключ должен оставаться запечатанным внутри защищённого аппаратного обеспечения, чтобы доказательства можно было считать надёжными. Если он будет скомпрометирован, злоумышленники смогут зарегистрировать собственных проверяющих в качестве легитимных и подписывать мошеннические доказательства, которые верификатор Taiko примет, а затем подделать вывод активов через мост, что приведёт к выпущенным настоящим активам в Ethereum.

Taiko призвал всех пользователей вывести средства со всех мостов в сети, попросил централизованные биржи приостановить депозиты своего токена TAIKO и поручил производителям блоков прекратить создание новых блоков на время проведения расследования.

К 2 часам утра по восточному времени Taiko сообщил, что уязвимость была локализована, а вывод средств через основной мост и хранилище токенов приостановлен. Злоумышленник уже перевел около 2 миллионов TAIKO, стоимостью примерно 170 000 долларов, на счет на бирже MEXC.

Потери в долларах невелики, однако уязвимость связана с тем же механизмом DeFi, который в этом году уже стал причиной убытков на сотни миллионов долларов.

Поддельные межцепочечные сообщения вывели 292 миллиона долларов из моста Kelp DAO в апреле и 11,4 миллиона долларов из моста Verus-Ethereum в мае. Мосты принесли убытки на сумму более 340 миллионов долларов в результате как минимум 14 атак в 2026 году, что делает их самой дорогостоящей целью в криптоиндустрии. Ущерб Taiko остался относительно ограниченным благодаря тому, что команда обнаружила и заморозила атаку в течение нескольких часов.

Taiko, начавшая работу в сети Ethereum в мае 2024 года, заявила, что готовит полный отчет о данном инциденте.

  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6
  7. 7
  8. 8
  9. 9
  10. 10
ER June 2026 Image

CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.

Почему это важно:

CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.