Taiko subit une attaque : pertes d’environ 1,7 million de dollars, pont inter-chaînes et coffre-fort mis en pause d’urgence

Taiko a publié le 22 juin sur X un avis de sécurité, affirmant avoir confirmé que son mécanisme de vérification de l’état de la chaîne a été compromis. Toutes les hypothèses de sécurité des ponts inter-chaînes déployés sur Taiko ne peuvent plus être invoquées. Les ponts inter-chaînes et le coffre (vault) ont été suspendus ; les ponts inter-chaînes dans les deux sens sont hors ligne, et les transactions en attente sont en état de suspension plutôt que perdues. Blockaid surveille : Taiko a subi une perte de plus de 1 million de dollars dans le ERC20 Vault.

Mesures d’urgence de Taiko : suspension du pont, demandes de dépôt par les plateformes, publication des adresses de l’attaquant

D’après la déclaration publique de Taiko sur la plateforme X, les mesures d’urgence mises en place comprennent :

· Les ponts inter-chaînes et le coffre (vault) ont été suspendus, les fonds ne peuvent plus être retirés ; les ponts inter-chaînes dans les deux sens sont hors ligne ;

· En coordination avec le comité de sécurité et des partenaires au sein de l’écosystème, afin de maîtriser la situation et de suspendre au maximum les systèmes impactés ;

· Demande urgente à toutes les plateformes d’échange centralisées de suspendre les dépôts de jetons TAIKO, jusqu’à réception d’un avis officiel ;

· Les adresses de l’attaquant ont été publiées ;

· Prise de toutes les mesures techniques et juridiques nécessaires.

Taiko précise aussi que les transactions en attente sont suspendues et non perdues.

Mécanisme technique de l’attaque analysé par Blockaid : faille dans la validation des preuves de signal de source

D’après l’analyse de surveillance de sécurité de Blockaid, la cause technique de cette attaque réside dans un défaut au niveau de la validation des preuves de signal de source du pont inter-chaînes de Taiko : des preuves de message construites ont été acceptées comme valides sur Ethereum L1, sans qu’un événement légitime MessageSent correspondant n’existe sur la chaîne source de Taiko. Cela permet à l’attaquant d’enregistrer et d’extraire des messages inter-chaînes frauduleux, afin de libérer des actifs depuis le ERC20 Vault sans autorisation.

Flux de fonds suivis par PeckShield : perte de 1,7 million de dollars, 1,99 million de TAIKO transférés vers MEXC

Le suivi on-chain de PeckShield indique que la perte totale liée à l’incident d’attaque de Taiko est d’environ 1,7 million de dollars ; l’attaquant a transféré 1,99 million de jetons TAIKO (environ 1,89 million de dollars au prix du moment) vers la plateforme d’échange MEXC. Auparavant, Blockaid avait rapporté une perte du ERC20 Vault de plus de 1 million de dollars comme chiffre de divulgation initiale de l’incident.

FAQ

Les transactions en attente du pont inter-chaînes de Taiko seront-elles perdues ?

D’après la déclaration officielle de Taiko, les transactions en attente sont dans un état de « suspension » plutôt que perdues. Les retraits en attente des utilisateurs ne disparaissent pas : ils ne peuvent tout simplement pas être traités temporairement avant le rétablissement du pont.

Quel est l’action que les utilisateurs devraient faire immédiatement ?

Taiko indique dans son avis qu’il est « fortement recommandé à tous les utilisateurs de retirer immédiatement les fonds de tous les ponts inter-chaînes déployés sur Taiko ». Étant donné que le comité de sécurité a suspendu les opérations de pont dans les deux sens, les étapes opérationnelles exactes dépendent des annonces officielles ultérieures. Parallèle, Taiko a demandé à toutes les plateformes d’échange centralisées de suspendre les dépôts de jetons TAIKO, jusqu’à réception d’un avis officiel.

La faille technique à l’origine de cette attaque a-t-elle déjà été corrigée ?

D’après l’avis officiel disponible au moment de la publication de l’article, Taiko indique que l’incident a été maîtrisé, et que le pont inter-chaînes ainsi que le coffre (vault) ont été suspendus, mais sans annoncer encore si la faille a été corrigée ou quand le pont reprendra. Taiko s’engage à fournir de nouvelles mises à jour dès que davantage d’informations seront disponibles.