infopulsedaily.info

Новости, которые двигают рынок

infopulsedaily.info

Новости, которые двигают рынок

Виталик Бутерин: AI-верификация — финальная форма безопасной разработки
Виталик Бутерин: AI-верификация — финальная форма безопасной разработки
previous arrow
next arrow
Blockchain

Мост Taiko взломан: $1,7 млн украдены через подделку доказательств

Ethereum Layer 2-сеть Taiko остановила производство блоков и призвала всех пользователей немедленно вывести средства из мостов после того, как злоумышленник воспользовался критической уязвимостью в механизме верификации состояний цепи. По оценкам команды, общий ущерб составил около $1,7 млн.

Атака была осуществлена через подделку кросс-чейн доказательств: фиктивные запросы на вывод средств принимались на уровне Ethereum L1 без соответствующих транзакций в самой сети Taiko. Это позволило атакующему зарегистрировать мошеннические сообщения через мост и опустошить хранилище токенов ERC-20. Фирма безопасности BlockSec предположила, что ключевой причиной стала утечка приватного ключа подписи Raiko SGX enclave — прувер-стека Taiko для генерации доказательств — в публичный репозиторий GitHub.

Команда немедленно активировала Совет безопасности, приостановила основной мост и хранилище токенов, а также попросила централизованные биржи приостановить депозиты TAIKO. По данным PeckShield и Lookonchain, атакующий успел перевести около 2 млн TAIKO (≈$170 000) на аккаунт биржи MEXC. Биржи Upbit и Bithumb превентивно заморозили депозиты и выводы токена.

Хотя долларовые потери относительно невелики, сам механизм уязвимости повторяет схему, которая в 2026 году уже обошлась отрасли более чем в $340 млн в результате минимум 14 эксплойтов мостов. В апреле через аналогичную атаку с подделкой кросс-чейн сообщений у Kelp DAO было похищено $292 млн, в мае — $11,4 млн из моста Verus-Ethereum. Согласно данным DeFiLlama, только в июне 2026 года зафиксировано свыше 23 взломов криптопротоколов.

Taiko — это based rollup, то есть сеть, полагающаяся на валидаторов Ethereum L1 для секвенирования транзакций. Проект был запущен в мае 2024 года и позиционировался как первый based rollup на Ethereum. По состоянию на момент публикации команда подтвердила, что эксплойт локализован; полный отчёт об инциденте обещан позднее.

Для рынка произошедшее — очередное напоминание о том, что мосты остаются самым уязвимым звеном Web3-инфраструктуры. Утечка криптографических ключей в публичный код — системная проблема, которая при масштабировании экосистемы L2 будет только обостряться.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *