Taiko (TAIKO)

🚨Taiko因约$1.7M被抽干。根本原因：私钥被提交到公共GitHub仓库。

enclave-key.pem，签署Taiko所有SGX enclave的RSA密钥，位于公共taikoxyz/raiko仓库。该密钥构成整个信任模型。

攻击者从公钥派生出MrSigner，使用泄漏的密钥签署其恶意enclave，并注册为受信任的prover。L1合约信任任何MrSigner匹配的enclave。它匹配了。

从此：在伪造的L2区块上伪造SGX证明，processMessage()将消息设为RETRIABLE，retryMessage()进行零证明验证，资金离开。

没有密钥盗窃。没有社会工程。没有SGX漏洞。只是公共仓库中的一个.pem。

这是回顾SGX已被破坏的好机会。但这里，甚至不需要破坏它。

这只是另一场密钥管理失败。整个系统的强度仅取决于单个RSA密钥的保密，而这种保密依赖于人类没有在错误的文件夹运行git add .。AI会检索每个公共仓库的每次提交。

⚠️ 安全通告

我们已确认Taiko的链状态验证机制遭到妥协。结果是，部署在Taiko上的所有桥接的安全假设已不再可信。

我们正在积极与安全委员会及生态合作伙伴协调，遏制事件，尽可能暂停受影响的系统，并采取所有必要的技术和法律措施。

我们强烈建议所有用户立即从部署在Taiko上的所有桥接中提取资金。

更多信息公布后将提供进一步更新。