
北京时间6月22日下午,以太坊Layer2网络Taiko透过X平台正式宣布,本次安全事件的漏洞风险已获得控制。
根据Taiko最新宣告,已执行以下措施:
暂停L1跨链桥执行,透过该管道的提现功能已全部关闭
暂停ERC20金库(Vault)运作,切断资产流出路径
同步停产新区块(今早已执行),确保链上状态稳定
根据目前预估,在相关合约关停前,本次被盗损失最高约170万美元。
攻击者利用的是Taiko跨链桥的讯息证明验证机制漏洞。具体来说:
在源链没有真实交易事件的情况下,以太坊主网仍认可了伪造的讯息凭证
攻击者借此发起虚假提现,从跨层桥与代币金库中窃取资产
安全公司Blockaid今早的初步分析指出,问题根源在于Taiko桥验证源讯号(source-signal)证明时存在缺陷。攻击者可在以太坊上提交缺少Taiko链上合法证明的讯息证明,从而注册并提取诈欺性桥讯息,导致ERC20金库资产被未经授权释放。
今日上午7:00至下午14:14的事件发展:
08:04—Blockaid侦测Taiko ERC20金库遭攻击,损失超100万美元
09:48—PeckShield追踪到攻击者已将199万枚TAIKO转入MEXC,价值约18.9万美元
11:31—Taiko暂停全数Proposer生成新区块
13:55—Taiko宣布链状态验证机制遭入侵,跨链桥安全假设已不可靠
14:14—Taiko宣告风险已控制,L1跨链桥与ERC20金库停运
Taiko以「Type-1 zkEVM」自居,意即其L2状态直接建立在以太坊主网而非独立的rollup链上,理论上安全性应等同以太坊。但这次事件显示,跨层桥的讯息验证逻辑才是链上安全的瓶颈所在,而非终极状态本身。若源链讯号的证明验证存在缺陷,即使状态机器再严谨,伪造的凭证仍可进入主网。
这次事件也呼应了L2赛道的常见模式——多数L2的「最终一致性」依赖中间步骤(讯息证明、源讯号验证)的正确性,而非终局演算法本身。Taiko今早已停产新区块,下午确认风险控制,反应速度在L2圈中属正常水准。