Ethereum katman 2 ağı Taiko, zincir durum doğrulama mekanizmasının ihlal edildiğini doğrulamasının ardından, ağ üzerindeki tüm köprülerde tutulan varlıkların çekilmesini istedi. Proje ekibi, pazar günü yayımladığı güvenlik duyurusunda Taiko üzerindeki tüm köprülerin dayandığı güvenlik varsayımlarına artık güvenilemeyeceğini açıkladı.
Güvenlik uyarısı ve ilk etkiler
Taiko ekibi, Güvenlik Konseyi ve ekosistem ortaklarıyla birlikte olayın etkisini sınırlamak, mümkün olan sistemleri durdurmak ve teknik ile hukuki adımlar atmak için çalıştığını bildirdi. Açıklamada, kullanıcıların Taiko üzerinde devrede bulunan tüm köprülerden fonlarını derhal çekmesi istendi.
Taiko ekibi, ağ üzerindeki tüm köprülerden kullanıcıların fonlarını hemen çekmesini güçlü şekilde tavsiye ettiklerini duyurdu.
Taiko, işlemleri daha verimli biçimde yürütmek için sıfır bilgi rollup teknolojisini kullanan ve Ethereum ile uyumluluk sağlayan bir katman 2 ağı olarak biliniyor. Daniel Wang tarafından kurucu ortaklığı yapılan ağ, Mayıs 2024’te ana ağını devreye almıştı.
Saldırının olası nedeni
Taiko, ihlalin kesin nedenini ve toplam zararın boyutunu paylaşmadı. Buna karşılık blokzincir güvenlik şirketi BlockSec Phalcon, saldırı nedeniyle oluşan kaybın 1,7 milyon doların üzerine çıktığını hesapladı. Şirketin ilk incelemesine göre olayın muhtemel nedeni, GitHub üzerinde herkese açık halde bulunan bir Raiko SGX enclave imzalama anahtarı oldu.
Mini sözlük: SGX, Intel tarafından geliştirilen ve belirli kodların izole bir güvenli alan içinde çalıştırılmasını amaçlayan bir donanım güvenlik teknolojisidir. Enclave imzalama anahtarı ise bu güvenli örneklerin yetkili olduğunu doğrulamak için kullanılır.
BlockSec Phalcon, enclave imzalama anahtarının herkese açık olması nedeniyle SGX ispatlayıcı güven modelinin bozulmuş olabileceğini, bunun da saldırganın kendi kontrolündeki SGX örneklerini sisteme kaydettirmesine imkan vermiş olabileceğini aktardı.
BlockSec’e göre saldırganlar, ele geçirilmiş doğrulayıcı örnekleri kullanarak Taiko’nun doğrulama sözleşmeleri tarafından kabul edilen sahte kanıtlar üretmiş olabilir. Ardından sahte bir sinyal yardımıyla uydurma bir köprü mesajı kaydedildiği ve protokolün ERC20Vault yapısından Ethereum tabanlı varlıkların serbest bırakıldığı değerlendirildi.
Daha geniş güvenlik tartışması
Bu gelişme, özellikle ispat doğrulama altyapısının ne kadar dayanıklı olduğu konusunda yeni soruları gündeme taşıdı. Taiko olayında öne çıkan başlık, yalnızca bir köprünün değil, ağ üzerindeki tüm köprülerin güvenlik varsayımlarının zedelenmiş olması oldu.
Taiko’daki ihlal, son aylarda art arda görülen büyük kripto saldırılarının ardından geldi. Nisan ayında KelpDAO’nun zincirler arası köprüsünden 292 milyon dolar çalınmış, mayısta Echo Protocol Monad üzerinde yetkisiz şekilde 77 milyon dolarlık eBTC basıldığını açıklamıştı. Bu ayın başında ise Solana tabanlı Raydium borsası, kullanım dışı bırakılmış likidite havuzlarının istismar edilmesiyle 1,34 milyon dolar kaybetti.
| Protokol | Tarih | Açıklanan tutar | Olayın niteliği |
|---|---|---|---|
| Taiko | Pazar günü duyuruldu | 1,7 milyon doların üzerinde | Zincir durum doğrulama mekanizması ihlali |
| KelpDAO | Nisan | 292 milyon dolar | Zincirler arası köprü saldırısı |
| Echo Protocol | Mayıs | 77 milyon dolarlık yetkisiz basım, yaklaşık 816 bin dolar zarar | eBTC için yetkisiz basım |
| Raydium | Bu ayın başı | 1,34 milyon dolar | Eski likidite havuzlarının istismarı |
Yılın ilk beş ayında merkeziyetsiz finans protokollerinde toplam kayıp 840 milyon doları aştı. Taiko olayının, köprü güvenliği ve doğrulama altyapısına yönelik denetimlerin yeniden sıkılaştırılması yönündeki baskıyı artırabileceği değerlendiriliyor.
