重點

Taiko，一個以太坊 Layer-2 網路，確認其鏈狀態驗證機制遭到破壞並且 敦促所有用戶立即從橋接提取資金。資安公司 BlockSec Phalcon 評估損失超過 170 萬美元，並指出一個暴露的 Raiko SGX enclave 簽名金鑰可能是原因。該事件削弱了對協議證明驗證基礎設施的信任，已促使與安全合作夥伴協調，於可行處暫停受影響系統，並採取技術與法律回應。

情緒分析

• 整體情緒為中度偏負面：公告為糾正性且緊急，反映出重大安全失誤；同時迅速且透明的警示與協調回應又帶來謹慎的建設性語氣。對用戶資金與信心的即時影響為負面，但專案的遏止措施與與安全夥伴的合作提供了復原的可能性。溝通強調謹慎與用戶行動，而非對快速解決的樂觀期待。

文章內容

Taiko 開發團隊已通知用戶，網路的鏈狀態驗證機制遭到破壞，並強烈建議從其部署在以太坊 Layer-2 區塊鏈上的所有橋接中撤回資金。Taiko 警告稱支撐橋接運作的安全假設已無法再被信賴，並表示正與其安全委員會與生態系夥伴協調，以限制事件影響、於可行時暫停受影響服務，並採取技術與法律上的回應。

Taiko 是一個零知識 rollup，設計用來提升交易吞吐量，同時與以太坊相容。該網路由前 Loopring 執行長 Daniel Wang 共同創立，於 2024 年 5 月啟動主網，並作為以太坊擴容解決方案的專用資料基礎設施。在其公告中，團隊敦促用戶立即採取行動，指出與受損驗證流程相關的橋接保證可能已失效。

儘管 Taiko 的公告並未揭露詳細根因或損失估計，區塊鏈安全公司 BlockSec Phalcon 提供的初步分析顯示損失超過 170 萬美元。BlockSec Phalcon 將事件與在 GitHub 上公開可存取的一個暴露的 Raiko SGX enclave 簽名金鑰聯繫起來。根據其評估，enclave 簽名金鑰的公開可用性可能破壞 SGX prover 的信任模型，使攻擊者能夠透過 SgxVerifier.registerInstance 註冊並控制 SGX 實例。

BlockSec 的分析指出，攻擊者可能利用被入侵的驗證器實例產生被 Taiko 驗證合約接受的偽造證明。這些偽造的證明接著可能被用來註冊假橋接訊息並觸發從協議的 ERC20Vault 釋放資產。如果屬實，這一連串事件突顯了掌握關鍵簽名材料的攻擊者如何繞過證明驗證並操縱跨鏈或橋接相關的資產流動。

Taiko 的違規事件發生在加密貨幣生態系統一系列高調攻擊事件之中。今年早些時候，攻擊者從多個 DeFi 平台與橋接竊取大量資金，包括從 KelpDAO 的跨鏈橋失竊的 2.92 億美元，以及涉及未授權鑄幣或流動性池被利用的事件。這些事件共同說明了對跨鏈基礎設施持續且演進的威脅，以及保護密鑰與驗證環境的重要性。

除了即時的用戶損失之外，Taiko 事件還提出了關於依賴隔離硬體 enclave 的證明驗證基礎設施韌性以及簽名金鑰運營控制的更廣泛問題。這一關鍵洞見強調保護簽名材料與驗證器註冊流程對於維持 ZK-rollup 與橋接安全模式的信任至關重要。依賴外部或硬體型 prover 的專案必須確保嚴格的存取控制、健全的金鑰管理與透明的稽核，以降低類似妥協的風險。

作為對違規的回應，Taiko 的開發者表示正與安全夥伴合作以遏止事件、在可能的情況下暫停受影響的組件，並釐清修復步驟。於 Taiko 橋接上有資金的用戶應遵循專案指南並撤回資產，直到團隊能提供已驗證的解決方案並確認驗證機制安全。此事件提醒生態系參與者持續檢視安全假設、輪換金鑰，並對關鍵驗證基礎設施採取深度防禦策略。

隨著調查持續進行，利益相關者將關注 Taiko 與第三方安全公司公布的更多技術細節，以進一步了解攻擊向量並學習恢復信任所需的變更。該事件也加入了日益增加的橋接與跨鏈弱點紀錄，開發者、稽核員與保管方必須解決這些問題以強化整體 DeFi 生態系統。

關鍵見解表