Taiko跨链桥遭攻击,Layer 2安全机制受挑战
以太坊Layer 2区块链Taiko近日遭遇安全事件,其跨链桥的验证机制被发现存在根本性缺陷。攻击者利用该漏洞,成功绕过链上证明验证,从桥接资金库中提取了未经授权的资产。项目方已确认所有基于该桥的安全假设都已失效,并紧急呼吁用户立即从相关桥接应用中撤出资金。
漏洞根源:验证信号机制被绕过
根据加密安全公司Blockaid的分析,问题核心在于Taiko桥验证源信号的方式存在设计缺陷。攻击者能够在以太坊主网上提交看似合法、但实际缺少Taiko链上必要证明的消息。这种欺诈性消息被桥接合约接受后,攻击者得以注册虚假的跨链交易指令,从而触发ERC20代币金库的未授权释放。
“这本质上是一个验证逻辑的短路,”一位安全研究员评论道,“系统未能严格执行跨链消息的双向验证,让攻击者钻了空子。”
损失评估:多家机构确认百万美元级盗取
关于具体损失金额,各安全监测机构给出了略有差异的估算:
- Blockaid初步评估被盗资产价值至少100万美元。
- Lookonchain与PeckShield的分析则认为,最高损失可能达到170万美元。
- PeckShield进一步追踪发现,攻击者已将约199万枚TAIKO代币(价值约18.9万美元)转移至MEXC交易所。
区块链情报平台Arkham的数据显示,与此次攻击相关的钱包地址目前仍持有价值约150万美元的资产,其中以太坊占主要部分。
应对措施:系统暂停与事件协调
Taiko团队在事件发生后迅速采取了行动。他们已协调相关合作伙伴,共同控制事件影响范围,并暂停了所有受影响的桥接系统,以防止损失进一步扩大。项目方表示,正在全力调查事件根本原因,并将在后续公布详细的技术复盘报告与补偿方案。
此次事件再次为快速发展的Layer 2生态敲响了安全警钟。跨链桥作为连接不同区块链的关键设施,其代码复杂性和资产集中度使其成为攻击者的高频目标。行业专家建议,项目方在设计和审计此类合约时,需采用更严格的“零信任”验证模型,并建立多层安全监控与响应机制。