资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Taiko 暂停桥接与 ERC20Vault,验证机制遭攻破导致伪造消息泛滥
在验证机制遭攻破、可伪造桥接消息后,Taiko 暂停了其 Bridge 和 ERC20Vault。研究人员估算,此次漏洞利用导致约 170 万美元资产被盗,涉及 ETH、USDC、USDT 和 TAIKO 等代币。事件目前已得到控制,待处理交易仍处于暂停状态,Taiko 预计将发布完整的事后分析报告。
验证失败触发紧急应对
Taiko 在确认其链状态验证机制(用于网络中桥接活动验证的核心组件)被攻破后,发布了紧急安全通知。该团队在研究人员将一起桥接漏洞与 6 月 21 日超过 100 万美元的损失联系起来后披露了此次事件,并建议用户提现、请求交易所支持,同时启动紧急处置措施。
据 Taiko 称,此次攻破破坏了其网络上所有已部署桥接的安全假设。团队表示已立即与安全委员会及生态伙伴协调,以控制事态。同时,Taiko 督促用户从受影响桥接中提取资金。此外,项目方请求中心化交易所暂停 TAIKO 存款,直至另行通知。不过,Taiko 随后更新消息确认事件已得到控制。团队暂停了 Bridge 和 ERC20Vault,导致提现完全停止,用户无需再采取行动。Taiko 补充说明,待处理交易只是暂停,并非丢失。
研究人员追踪漏洞路径
在调查持续进行的同时,安全公司与研究人员发布了初步发现。据 Blockaid 称,攻击者针对了以太坊上 Taiko 的 ERC20 Vault。初步估计损失超过 100 万美元。后续分析表明,约 170 万美元的资产从协议中流出。安全研究员 Defi Nerd 报告称,攻击者注册了新的 SGX 验证器实例,并创建了一个检查点。随后,攻击者利用该状态验证伪造的桥接消息。尽管在 Taiko 链上缺少对应的 MessageSent 事件,这些伪造的桥接消息却看似合法。研究人员表示,漏洞源于源信号证明验证过程,而非 ERC20 Vault 本身。
被盗资产跨链转移
漏洞利用之后,调查人员追踪到涉及多种资产的提现。被盗资金包括 USDC、USDT、crvUSD、ETH、WETH、WBTC、weETH、CRV、iZi 代币及 TAIKO。据 Lookonchain 监测,攻击者将 199 万枚 TAIKO(价值约 18.9 万美元)转移至 MEXC。同时,该钱包仍持有约 870.8 ETH,价值约 152 万美元。Taiko 还确认,在调查期间,区块提议者暂时停止了新区块的生产。项目方表示将发布完整的事后分析报告,同时其要求交易所暂停 TAIKO 存款的请求仍在生效中。
