Taikoがブリッジの脆弱性を悪用したセキュリティ侵害を確認
イーサリアムのレイヤー2ブロックチェーンであるTaiko(タイコ)は、攻撃者がプロトコルの証明検証システムの欠陥を悪用したことにより、チェーン状態検証メカニズムにセキュリティ侵害が発生したことを確認した。
この脆弱性により、不正なブリッジメッセージが有効とみなされ、TaikoのERC20 Vaultにおいて、チェーン状態検証メカニズムに脆弱性が見つかり、偽造された証明と不正な引き出しが行われた。プロトコルは、ネットワーク上のすべてのブリッジが安全でないとみなすべきであるとユーザーに警告し、資金の即時引き出しを推奨するとともに、取引所に対しTaikoトークンの預け入れを停止するよう要請した。
重大なセキュリティ侵害を調査中
このインシデントは、プロトコルの証明検証プロセスにおける欠陥に起因するものとみられている。
ブロックチェーンセキュリティ企業Blockaid(ブロックエイド)によると、攻撃者はTaikoのブリッジソースシグナル証明検証システムの脆弱性を悪用。この脆弱性により、Taikoネットワーク上で有効なイベントが発生していないにもかかわらず、特別に細工されたメッセージ証明がイーサリアム上で正当なものとして受け入れられてしまう事態が発生した。その結果、攻撃者はブリッジコントラクト上で本物に見える偽のブリッジメッセージを作成することができ、これらの偽メッセージは、適切な承認なしにTaikoのERC-20トークン保管庫から資産をロック解除し、引き出すために使用された。
攻撃の発覚後、Taikoはセキュリティ評議会およびエコシステムパートナーと緊密に連携し、被害の拡大を抑制し、可能な限り影響を受けたシステムを一時停止し、技術的および法的対応を実施すると発表。また、Taikoは中央集権型暗号資産取引所に対し、状況が完全に評価され解決されるまでTaikoネイティブトークンの預け入れを停止するよう要請した。
Taikoは、チームが侵害の調査を進めている間、インシデント対応プロセス中にさらなるリスクを防止し、ネットワークの完全性を維持するため、すべての提案者が新規ブロックの生成を停止したことを明らかにした。
今回の攻撃による損失額は依然として不明確で、セキュリティ企業によって異なる数値が報告されている。Blockaidは当初、盗まれた資金の損失額を約100万ドル(約1.6億円)と推定。しかし、ブロックチェーン分析企業のPeckShield(ペックシールド)は後に、損失額は170万ドル(約2.7億円)に近い可能性があると報告している。
現時点では調査は継続中であり、Taikoがネットワークおよびブリッジングインフラストラクチャーのセキュリティに関する最新情報を提供するまで、ユーザーは注意を払うよう勧告されている。
