En Resumen
- Los creadores de Taiko piden retirar fondos urgentemente de sus bridges en Ethereum tras sufrir un fallo en su sistema de seguridad.
- Aunque el equipo no ha dado cifras oficiales, expertos de BlockSec calculan que el ataque ha causado pérdidas de más de $1,7 millones.
- Se sospecha que el exploit ocurrió porque una clave de seguridad privada quedó expuesta por error en un repositorio público de GitHub.
Los desarrolladores detrás de la red Taiko han instado a los usuarios a retirar fondos de todos los bridges desplegados en su blockchain de Ethereum Capa 2, tras confirmar el compromiso de su mecanismo de verificación del estado de la cadena.
En un aviso de seguridad publicado el domingo, el proyecto señaló que las garantías de seguridad subyacentes a todos los bridges en Taiko ya no podían considerarse confiables. El equipo indicó que estaba coordinando con su Consejo de Seguridad y socios del ecosistema para contener el incidente, pausar los sistemas afectados donde fuera posible, y buscar respuestas técnicas y legales.
"Recomendamos encarecidamente a todos los usuarios retirar sus fondos de todos los bridges desplegados en Taiko de inmediato", escribió el equipo en X.
Taiko es una red de Capa 2 de Ethereum que utiliza rollups de conocimiento cero para procesar transacciones de manera más eficiente mientras mantiene compatibilidad con Ethereum. Cofundada por el ex CEO de Loopring, Daniel Wang, la red lanzó su mainnet en mayo de 2024 como almacenamiento de datos dedicado para escaladores de Ethereum.
Taiko no reveló la causa de la brecha ni proporcionó una estimación de las pérdidas. Sin embargo, según la firma de seguridad blockchain BlockSec Phalcon, el ataque resultó en pérdidas superiores a $1,7 millones. En un análisis preliminar, la firma señaló que la causa probable fue una clave de firma del enclave Raiko SGX expuesta que había sido accesible públicamente en GitHub.
"Debido a que la clave de firma del enclave era accesible públicamente, el modelo de confianza del verificador SGX podría haberse roto", escribió BlockSec Phalcon en X. "La clave expuesta podría haber permitido al atacante registrar instancias SGX controladas por el atacante a través de SgxVerifier.registerInstance".
Según BlockSec, los atacantes podrían haber utilizado instancias de verificación comprometidas para generar pruebas fraudulentas que fueron aceptadas por los contratos de verificación de Taiko. El atacante luego utilizó una señal falsificada para registrar un mensaje de bridge falso y activar la liberación de activos basados en Ethereum desde el ERC20Vault del protocolo.
La brecha de Taiko se suma a una serie de grandes exploits cripto. En abril, los atacantes robaron $292 millones del bridge cross-chain de KelpDAO en un ataque vinculado posteriormente al Grupo Lazarus de Corea del Norte. En mayo, Echo Protocol reveló una brecha que involucró la acuñación no autorizada de $77 millones en eBTC en Monad, aunque el proyecto estimó las pérdidas reales en aproximadamente $816.000. A principios de este mes, el exchange basado en Solana Raydium perdió $1,34 millones después de que los atacantes explotaran pools de liquidez obsoletos.
En total, los protocolos DeFi perdieron más de $840 millones en los primeros cinco meses del año.