تایکو، یک شبکه لایه ۲ اتریوم که تراکنشها را خارج از زنجیره اصلی پردازش و مجدداً به آن تسویه میکند، تولید بلوک را متوقف کرد و از کاربران خواست وجوه خود را برداشت کنند پس از آنکه مهاجم از طریق هک پل، حدود ۱.۷ میلیون دلار سرقت کرد. تیم تخمین زده است که ضررها در حدود ۱.۷ میلیون دلار بوده است قبل از اینکه جریان خروجی را متوقف کند.
مهاجم با جعل اثباتهایی که پل برای تأیید صحت درخواستهای برداشت استفاده میکند، نشان داد که این اثباتها جعلی هستند. درخواستهای برداشت جعلی در اتریوم پذیرفته شدند بدون اینکه معادل تراکنشی در زنجیره تایکو رخ داده باشد، که باعث شد مهاجم درخواستهای برداشت تقلبی ثبت کند و داراییها را از پل و مخزن توکنهای آن خالی کند.
پلها ابزارهای مبتنی بر بلاکچین هستند که داراییها را بین تایکو و اتریوم منتقل میکنند. نحوه جعل این اثباتهای معتبر نشان میدهد که کلید لو رفته است.
شرکت امنیتی بلاکسک اعلام کرد تحقیقات اولیه آنها نشان میدهد علت احتمالی به دسترسی عمومی به کلید امضا در GitHub برای سیستم Raiko، که برای تولید اثباتهای تایکو و توکنهای آن استفاده میشود، مربوط است. این کلید قرار بود داخل سختافزارهای امن نگهداری شود تا اثباتها معتبر باقی بمانند، اما در معرض دید قرار گرفت.
با توجه به افشای این کلید، مهاجم قادر بود تاییدکنندگان خود را وارد کند و اثباتهای جعلی امضا کند که توسط تأییدکنندههای تایکو پذیرفته شد، و سپس درخواست برداشت جعلی ثبت کند که داراییهای واقعی در اتریوم را آزاد میکرد.
تایکو از تمام کاربران خواست در هر پل شبکه، وجوه خود را برداشت کنند، از صرافیهای متمرکز خواستند تا واریز توکن TAIKO را متوقف کنند و تولیدکنندگان بلوک خود را برای توقف ساخت بلوک در طول رسیدگی، متوقف کردند. پس از چند ساعت، اعلام شد که هک مهار شده و برداشتها از طریق پل اصلی و مخزن توکن کاملاً متوقف شده است. مهاجم قبلاً حدود ۲ میلیون توکن تایکو به ارزش تقریبی ۱۷۰ هزار دلار به حسابی در صرافی MEXC منتقل کرده است.
زیانهای دلار آمریکا کم است، اما این آسیبپذیری از همان مکانیزم دیفای ناشی شده است که امسال میلیونها دلار خسارت وارد کرده است. پیامهای جعلی بینزنجیرهای در آوریل ۲۹۲ میلیون دلار و در می ۱۱.۴ میلیون دلار از پل وراثوس-اتریوم را سرقت کرد، همان نقصی که در آن یک زنجیره فریب میخورد تا اعتماد را به دستور جعلی دیگری جلب کند.
در سال ۲۰۲۶، بیش از ۱۴ حمله به پلهای بلاکچین صورت گرفته است که مجموعاً بیش از ۳۴۰ میلیون دلار خسارت وارد کرده است، و تایکو به دلیل مهار سریع، خسارت عمدهای ندیده است. تایکو که در می ۲۰۲۴ بر روی اتریوم راهاندازی شد، اعلام کرده است که در ساعات بامدادی دوشنبه، جزئیات کامل این حادثه را منتشر خواهد کرد.
