Taiko припиняє роботу своєї мережі Ethereum другого шару після експлуатації мосту, токен різко падає

Зловмисник підробив підтвердження виведення коштів, щоб вивести близько 1,7 мільйона доларів, що є тією ж помилкою, яка стала причиною найбільших хакерських атак на мости цього року. Швидке припинення атаки допомогло зберегти збитки на мінімальному рівні.

Поділитися цією статтею
Hacker sitting in a room (Clint Patterson/Unsplash)
Summary
  • Taiko, мережа Ethereum другого рівня, припинила виробництво блоків і закликала користувачів вивести кошти після того, як зловмисник використав її міст для викрадення близько 1,7 мільйона доларів.
  • Атакуючий сфабрикував міжмережеві докази, щоб фальшиві запити на виведення коштів були прийняті в мережі Ethereum без відповідних депозитів у Taiko, що призвело до спустошення мосту та його сховища токенів до того, як команда призупинила активність.
  • Хоча збиток у доларах був відносно невеликим, експлойт використовував ту ж саму вразливість міжланцюгових повідомлень, яка стала причиною крадіжок через мости на суму понад 340 мільйонів доларів цього року, і Taiko заявила, що оприлюднить повний звіт про інцидент.

Taiko, мережа Ethereum другого рівня, призупинила виробництво блоків і закликала користувачів вивести свої кошти після атаки на її міст, що сталася раніше в понеділок.

Команда оцінила збитки приблизно у 1,7 мільйона доларів до того, як припинила відтоки. Токен TAIKO цієї мережі, ринкова капіталізація якого становить 14,5 мільйона доларів, впав більш ніж на 20% з опівночі за UTC.

Зловмиснику вдалося сфальсифікувати докази, які міст використовує для підтвердження відповідності виведення реальному депозиту. Підроблені запити на виведення були прийняті в Ethereum без відповідної транзакції в ланцюзі Taiko, що дозволило зловмиснику зареєструвати шахрайські виведення та вивести кошти з моста та його токенового сховища, повідомила Taiko.

Мости — це інструменти на основі блокчейну, що переміщують активи між різними мережами, у цьому випадку Taiko та Ethereum. Блокчейни другого рівня (Layer-2) обробляють транзакції поза основною мережею та підтверджують їх у ній, щоб забезпечити швидший та дешевший сервіс, ніж у хост-системі.

Здатність нападника підробляти правдоподібні докази вказує на те, що він міг мати доступ до витоку ключа.

Компанія з безпеки BlockSec заявив його початкове розслідування встановило ймовірну причину — ключ підпису для Raiko, який Taiko використовує для створення доказів достовірності транзакції, що був залишений загальнодоступним на GitHub.

Ключ повинен залишатися запечатаним у захищеному апаратному забезпеченні, щоб докази були надійними. Якщо його розкрити, зловмисники можуть зареєструвати власних провайдерів як легітимних та підписати шахрайські докази, які верифікатор Taiko прийме, а потім підробити виведення через міст, що призведе до випуску реальних активів в Ethereum.

Taiko закликав усіх користувачів вивести кошти з усіх містків у мережі, попросив централізовані біржі призупинити депозити свого токена TAIKO та наказав виробникам блоків припинити створення нових блоків на час розслідування.

Близько 2 години ранку за східним часом Taiko повідомила, що експлойт було локалізовано, а виведення коштів через основний міст та токеновий сховок призупинено. Зловмисник уже переказав близько 2 мільйонів TAIKO, вартістю приблизно $170 000, на рахунок на біржі MEXC.

Втрати в доларах незначні, проте недолік виник через той самий механізм DeFi, який цього року спричинив збитки на сотні мільйонів доларів.

Підроблені міжмережеві повідомлення призвели до втрати $292 млн із містка Kelp DAO у квітні та $11,4 млн із мосту Verus-Ethereum у травні. Мости спричинили збитки на суму понад $340 млн внаслідок щонайменше 14 експлойтів у 2026 році, що робить їх найдорожчою мішенню у криптопросторі. Шкода для Taiko залишалася обмеженою переважно завдяки тому, що команда виявила та заблокувала атаку протягом кількох годин.

Taiko, який почав роботу на Ethereum у травні 2024 року, повідомив, що готує повний аналіз інциденту.

  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6
  7. 7
  8. 8
  9. 9
  10. 10
ER June 2026 Image

CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.

Чому це важливо:

CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.