Ethereum üzerinde çalışan bir Katman 2 ağı olan Taiko, hafta başında köprüsüne yönelik bir saldırının ardından blok üretimini durdurdu ve kullanıcılarına fonlarını çekmelerini tavsiye etti.
Ekip, çıkışları durdurmadan önce yaklaşık 1,7 milyon dolarlık bir kayıp yaşandığını tahmin ediyor. Zincirin yerel token’ı TAIKO’nun piyasa değeri 14,5 milyon dolar seviyesinde bulunurken, token gece yarısından bu yana -%20’nin üzerinde değer kaybetti.
Taiko ekibinin açıklamasına göre, saldırgan köprünün bir çekim işleminin gerçek bir yatırma işlemiyle eşleştiğini doğrulamak için kullandığı kanıtları sahte olarak üretebildi. Bu sayede, Taiko zincirinde karşılığı olmayan sahte çekim talepleri Ethereum üzerinde kabul edildi ve saldırgan, köprü ile token kasasındaki varlıkları çekerek sistemi boşalttı.
Blok zinciri tabanlı köprüler, varlıkların farklı zincirler arasında taşınmasını sağlayan araçlar olarak öne çıkıyor. Bu olayda, Taiko ile Ethereum arasında varlık transferi sağlanıyordu. Katman 2 blok zincirleri, işlemleri ana zincir dışında işleyip ardından ana zincire geri yazarak daha hızlı ve düşük maliyetli bir hizmet sunmayı amaçlıyor.
Saldırganın geçerli gibi görünen kanıtlar üretebilmesi, sızdırılmış bir anahtara erişimi olabileceğine işaret ediyor.
Siber güvenlik şirketi BlockSec’in ilk incelemesine göre, olayın muhtemel nedeni, Taiko’nun işlemlerin geçerliliğini kanıtlamak için kullandığı Raiko adlı sistemin imza anahtarının GitHub’da herkese açık şekilde erişilebilir olmasıydı.
Bu anahtarın, güvenli bir donanımda saklanması ve dışarıya kapalı kalması gerekiyor. Ancak anahtar sızdırıldığında, saldırganlar kendi doğrulayıcılarını sisteme yasal gibi kaydedebiliyor ve Taiko doğrulayıcısının kabul edeceği sahte kanıtlar üreterek köprüden gerçek varlıkların çekilmesini sağlayabiliyor.
BlockSec’in açıklamasına göre, Taiko’nun çoklu kanıt üretiminde kullandığı Raiko SGX anahtarının GitHub’da açık olması, saldırının temel nedeni olarak öne çıkıyor.
Taiko, tüm kullanıcılarına ağdaki köprülerden fonlarını çekmelerini tavsiye etti. Ayrıca merkezi borsalardan TAIKO token yatırma işlemlerinin askıya alınmasını ve blok üreticilerinin yeni blok üretimini durdurmasını istedi.
Yaklaşık 2.00’de, Taiko saldırının kontrol altına alındığını ve ana köprü ile token kasası üzerinden çekimlerin durdurulduğunu bildirdi. Saldırgan, yaklaşık 2 milyon TAIKO token’ı (yaklaşık 170.000 dolar değerinde) bir borsa hesabına aktardı.
Dolar bazında kayıp küçük olsa da, olayın temelinde bu yıl yüz milyonlarca dolarlık kayıplara yol açan aynı merkeziyetsiz finans (DeFi) mekanizması bulunuyor.
Nisan ayında Kelp DAO köprüsünden zincirler arası sahte mesajlarla 292 milyon dolar, mayıs ayında ise Verus-Ethereum köprüsünden 11,4 milyon dolar çekilmişti. 2026’da en az 14 saldırı sonucunda köprülerde toplam 340 milyon doların üzerinde kayıp yaşandı ve köprüler kripto ekosisteminin en maliyetli hedefi haline geldi. Taiko’daki zararın sınırlı kalmasında ise ekibin saldırıyı hızlıca tespit edip sistemi dondurması etkili oldu.
Mayıs 2024’te Ethereum üzerinde faaliyete geçen Taiko, olayla ilgili kapsamlı bir rapor hazırladığını duyurdu.
Bu içerik hazırlanırken faydalanılan kaynaklar: coindesk.com
