要点

Taiko，一个以太坊 Layer-2 网络，确认其链状态验证机制被破坏并且 敦促所有用户立即从桥接提取资金。安全公司 BlockSec Phalcon 估计损失超过 170 万美元，并指出一个暴露的 Raiko SGX enclave 签名密钥可能是原因。该事件削弱了对协议证明验证基础设施的信任，已促使与安全合作伙伴协调，于可行处暂停受影响系统，并采取技术与法律响应。

情绪分析

• 整体情绪为中度偏负面：公告为纠正性且紧急，反映出重大安全失误；同时迅速且透明的警示与协调响应又带来谨慎的建设性语气。对用户资金与信心的即时影响为负面，但项目的遏制措施与与安全伙伴的合作提供了恢复的可能性。沟通强调谨慎与用户行动，而非对快速解决的乐观期待。

文章正文

Taiko 开发团队已通知用户，网络的链状态验证机制被破坏，并强烈建议从其部署在以太坊 Layer-2 区块链上的所有桥接中撤回资金。Taiko 警告称支撑桥接运行的安全假设已无法再被信赖，并表示正在与其安全委员会与生态系统伙伴协调，以限制事件影响、在可行时暂停受影响服务，并采取技术与法律上的响应。

Taiko 是一个零知识 rollup，设计用于提升交易吞吐量，同时与以太坊兼容。该网络由前 Loopring CEO Daniel Wang 共同创立，于 2024 年 5 月启动主网，并作为以太坊扩容解决方案的专用数据基础设施。在其通告中，团队敦促用户立即采取行动，指出与受损验证流程相关的桥接担保可能已失效。

尽管 Taiko 的通告并未披露详细根因或损失估计，区块链安全公司 BlockSec Phalcon 提供的初步分析显示损失超过 170 万美元。BlockSec Phalcon 将事件与在 GitHub 上公开可访问的一个暴露的 Raiko SGX enclave 签名密钥联系起来。根据其评估，enclave 签名密钥的公开可用性可能破坏 SGX prover 的信任模型，使攻击者能够通过 SgxVerifier.registerInstance 注册并控制 SGX 实例。

BlockSec 的分析指出，攻击者可能利用被入侵的验证器实例生成被 Taiko 验证合约接受的伪造证明。这些伪造的证明随后可能被用于注册假桥接消息并触发从协议的 ERC20Vault 释放资产。如果属实，这一连串事件突显了掌握关键签名材料的攻击者如何绕过证明验证并操纵跨链或桥接相关的资产流动。

Taiko 的漏洞发生在加密货币生态系统一系列高调利用事件之中。今年早些时候，攻击者从多个 DeFi 平台与桥接窃取大量资金，包括从 KelpDAO 的跨链桥被盗的 2.92 亿美元，以及涉及未经授权铸币或流动性池被利用的事件。这些事件共同说明了对跨链基础设施持续且演进的威胁，以及保护密钥与验证环境的重要性。

除了即时的用户损失之外，Taiko 事件还提出了关于依赖隔离硬件 enclave 的证明验证基础设施弹性以及签名密钥运营控制的更广泛问题。这一关键洞见强调保护签名材料与验证器注册流程对于维持 ZK-rollup 与桥接安全模型的信任至关重要。依赖外部或硬件型 prover 的项目必须确保严格的访问控制、健全的密钥管理与透明的审计，以降低类似妥协的风险。

作为对漏洞的响应，Taiko 的开发者表示正在与安全伙伴合作以遏制事件、在可能的情况下暂停受影响的组件，并厘清修复步骤。在 Taiko 桥接上有资金的用户应遵循项目指南并撤回资产，直到团队能提供已验证的解决方案并确认验证机制安全。此事件提醒生态系统参与者持续检视安全假设、轮换密钥，并对关键验证基础设施采取深度防御策略。

随着调查持续进行，利益相关者将关注 Taiko 与第三方安全公司公布的更多技术细节，以进一步了解攻击向量并学习恢复信任所需的变更。该事件也加入了日益增加的桥接与跨链漏洞记录，开发者、审计员与托管方必须解决这些问题以强化整体 DeFi 生态系统。

關鍵洞見表