据区块链安全公司 Blockaid 称,部署在以太坊上的 Taiko ERC20 Vault 遭到攻击,造成损失超过 100 万美元。该事件源于跨链桥验证机制的严重缺陷。
Blockaid 报告称,该漏洞存在于源信号证明的验证中。具体来说,尽管 Taiko 的源链上没有相应的有效 MessageSent 事件,但恶意制作的消息证明在以太坊第 1 层 (L1) 上被视为合法。
这种差异使攻击者能够注册并执行欺诈性跨链消息,最终触发 ERC20 Vault 中未经授权的提款。该漏洞凸显了与跨链互操作性协议相关的持续风险,特别是在证明验证逻辑未得到充分保护的情况下。
ChainCatcher 首先报告了 Blockaid 的调查结果,强调桥梁开发人员严格审核消息传递架构以防止类似事件的紧迫性。