ประเด็นสำคัญ:
- Taiko ยืนยันการประนีประนอมในกลไกการตรวจสอบสถานะลูกโซ่
- การโจมตีดังกล่าวคาดว่าจะได้รับเงินจำนวนประมาณ 1.7 ล้านเหรียญสหรัฐจากโครงสร้างพื้นฐานของสะพานของโปรโตคอล
- ผู้ใช้ทุกคนได้รับคำแนะนำให้ลบสินทรัพย์ออกจากบริดจ์ที่ใช้งานทั้งหมดบน Taiko
ช่องโหว่ที่สำคัญในกลไกการตรวจสอบสถานะลูกโซ่ของ Taiko คือสิ่งที่กระตุ้นให้เกิดการแจ้งเตือนด้านความปลอดภัย เหตุการณ์นี้ทำให้เกิดความกลัวว่าสะพาน L2 เสี่ยงต่อการถูกโจมตีใน Ethereum
ช่องโหว่ดังกล่าวทำให้ข้อความได้รับการยอมรับบน Ethereum ในฐานะผู้ฉ้อโกง ส่งผลให้มีการถอนสินทรัพย์ออกจากห้องนิรภัย ERC20 บน Ethereum โดยไม่ได้รับอนุญาต ตามรายงานของนักวิจัยด้านความปลอดภัย
Taiko เตือนผู้ใช้ให้ออกจากตำแหน่งสะพาน
ไทโกะ ยืนยันแล้ว ว่าสมมติฐานที่ปกป้องความปลอดภัยของสะพานไม่สามารถเชื่อถือได้อีกต่อไปหลังจากเหตุการณ์เกิดขึ้น ทีมงานกล่าวว่ากำลังทำงานร่วมกับคณะมนตรีความมั่นคงและพันธมิตรระบบนิเวศเพื่อควบคุมความเสียหาย หยุดระบบที่ได้รับผลกระทบชั่วคราว และประสานงานการตอบสนองด้านเทคนิคและกฎหมาย
ประกาศด้านความปลอดภัย
เราได้ยืนยันการประนีประนอมของกลไกการตรวจสอบสถานะลูกโซ่ของ Taiko ด้วยเหตุนี้ สมมติฐานด้านความปลอดภัยของบริดจ์ทั้งหมดที่ใช้งานบน Taiko จึงไม่สามารถพึ่งพาได้อีกต่อไป
เรากำลังประสานงานอย่างแข็งขันกับคณะมนตรีความมั่นคงและพันธมิตรระบบนิเวศเพื่อ…
– Taiko.eth (@taikoxyz) 22 มิถุนายน 2026
ขอแนะนำให้ผู้ใช้ถอนเงินทั้งหมดออกจากบริดจ์ทั้งหมดที่ทำงานบนเครือข่ายเพื่อเป็นการป้องกันไว้ก่อน
หมายเหตุนี้เป็นหนึ่งในประกาศด้านความปลอดภัยที่เข้มงวดที่สุดที่ส่งโดยโปรเจ็กต์เลเยอร์ 2 หลักใดๆ บน Ethereum ในปีนี้ เนื่องจากจะนำไปใช้กับโมเดลความน่าเชื่อถือพื้นฐานเดียวกันสำหรับการดำเนินการบริดจ์
อ่านเพิ่มเติม: การใช้ประโยชน์จาก Aztec มูลค่า 2.1 ล้านเหรียญทำให้เกิดสัญญาณเตือนภัยเนื่องจากเงินทุนไหลออกจากโปรโตคอลความเป็นส่วนตัวที่ถูกละทิ้งมายาวนาน
การตรวจสอบหลักฐานที่ผิดพลาดเปิดใช้งานข้อความปลอม
สาเหตุที่แท้จริงอาจอยู่ในกระบวนการตรวจสอบการพิสูจน์แหล่งที่มาและสัญญาณ ตามที่บริษัทรักษาความปลอดภัยบล็อคเชนระบุ บล็อกเคด. นอกจากนี้ยังมีรายงานว่าสามารถส่งหลักฐานการออกแบบข้อความไปยังเครือข่าย Ethereum ได้โดยไม่ต้องมีกิจกรรม MessageSent ที่ถูกต้องตามกฎหมายบน Taiko
ข้อความฉ้อโกงทำให้เกิดการถอนเงินโดยไม่ได้รับอนุญาต
หลักฐานปลอมแปลงสามารถผ่านการตรวจสอบได้ และจากนั้นก็สามารถแลกเป็นเงินจริงได้ ในที่สุดสิ่งนี้ส่งผลให้เกิดการเปิดตัวห้องนิรภัย ERC20 โดยไม่ได้รับอนุญาต Blockaid กล่าว
บริษัทประกาศว่าไม่เกี่ยวกับการยักยอกคีย์ส่วนตัวหรือการประนีประนอมของผู้ตรวจสอบความถูกต้อง การหาประโยชน์จะมุ่งเน้นไปที่ความท้าทายในการตรวจสอบข้อความระหว่างเครือข่ายเป็นสะพานแทน
นี่เป็นหนึ่งในช่องโหว่ที่ใหญ่ที่สุดของโครงสร้างพื้นฐานแบบ cross-chain โดยความล้มเหลวในการรับรองความถูกต้องของข้อความอาจส่งผลให้สูญเสียทรัพย์สิน
อ่านเพิ่มเติม: แฮ็ก KelpDAO มูลค่า 290 ล้านเหรียญสหรัฐ: LayerZero ชี้ไปที่ข้อบกพร่อง DVN ที่ร้ายแรง สงสัยว่า Lazarus
ผู้โจมตีย้ายโทเค็นในขณะที่ดำรงตำแหน่ง ETH ขนาดใหญ่
ความสูญเสียทั้งหมดอยู่ที่ประมาณ 1.7 ล้านเหรียญสหรัฐ พูดว่า แพลตฟอร์มการวิเคราะห์บล็อคเชน Lookonchain
ผู้ค้าประเมินว่าฝ่ายตรงข้ามซื้อขายโทเค็นมูลค่าประมาณ 189,000 ดอลลาร์ในการแลกเปลี่ยน MEXC ผ่านโทเค็น TKO 1.99 ล้าน จากข้อมูลออนไลน์ การปรากฏตัวของผู้โจมตียังคงมีมากกว่า 870 ETH เล็กน้อย ซึ่งมีมูลค่าประมาณ 1.5 ล้านดอลลาร์
สินทรัพย์ยังไม่ได้รับการเรียกคืนและสามารถติดตามออนไลน์ได้อย่างง่ายดายโดยนักวิจัยด้านความปลอดภัย
เหตุการณ์นี้เกิดขึ้นหลังจากการโจมตีของสะพานและการแฮ็ก DeFi ในช่วงสองสามสัปดาห์ที่ผ่านมา แม้แต่กลุ่มผู้ตรวจสอบที่ซับซ้อนก็อาจกลายเป็นเป้าหมายของบอทหรือแฮกเกอร์ได้ เนื่องจากพวกมันรักษาโทเค็นที่ถูกล็อคไว้จำนวนมากในกระบวนการ
