Taiko dừng hoạt động mạng Layer 2 sau sự cố cầu nối, TAIKO giảm 10%

Taiko tạm dừng mạng sau khi cầu nối bị khai thác

Taiko, một mạng Ethereum Layer 2 chuyên xử lý giao dịch ngoài chuỗi chính rồi ghi nhận trở lại Ethereum, đã ngừng tạo block và yêu cầu người dùng rút tài sản sau một vụ tấn công nhắm vào cầu nối của mình vào đầu tuần.

Nhóm phát triển ước tính khoản thất thoát vào khoảng 1,7 triệu USD trước khi chặn được dòng tiền bị rút ra.

Cách kẻ tấn công vượt qua cơ chế xác thực

Theo Taiko, kẻ tấn công đã tạo ra các bằng chứng cross chain giả để đánh lừa hệ thống kiểm tra rút tiền. Những yêu cầu rút tiền giả này vẫn được chấp nhận trên Ethereum dù không hề có giao dịch tương ứng trên chuỗi của Taiko, từ đó cho phép đối tượng này đăng ký các khoản rút tiền gian lận và lấy đi tài sản trong cầu nối cùng kho token.

Cầu nối blockchain là thành phần giúp di chuyển tài sản giữa Taiko và Ethereum.

Dấu hiệu cho thấy bằng chứng hợp lệ bị giả mạo khiến giới quan sát nghi ngờ có rò rỉ khóa ký.

Nghi vấn liên quan đến khóa ký của Raiko

Công ty an ninh BlockSec cho biết kết quả điều tra ban đầu của họ cho thấy nguyên nhân nhiều khả năng đến từ một khóa ký của Raiko, hệ thống Taiko sử dụng để tạo ra các bằng chứng giúp Ethereum xác nhận giao dịch là thật. Khóa này được cho là đã vô tình để lộ công khai trên GitHub.

Đây là loại khóa vốn phải được lưu trong phần cứng bảo mật để bảo đảm tính tin cậy của bằng chứng. Khi nó bị lộ, kẻ tấn công có thể tạo các prover của riêng mình như thể là hợp lệ, ký ra bằng chứng giả mà bộ xác minh của Taiko vẫn chấp nhận, rồi dựng lên một yêu cầu rút tiền qua cầu nối để nhận tài sản thật trên Ethereum.

> BlockSec Phalcon cho biết Taiko được báo cáo là đã bị tấn công với thiệt hại vượt 1,7 triệu USD, và nghi vấn ban đầu hướng tới khóa ký enclave SGX của Raiko bị lộ trên GitHub.

Taiko phong tỏa cầu nối và yêu cầu các sàn tạm dừng nạp TAIKO

Trong lúc điều tra, Taiko đã kêu gọi toàn bộ người dùng rút tài sản khỏi mọi cầu nối trên mạng, đồng thời đề nghị các sàn giao dịch tập trung tạm ngưng nạp token TAIKO. Các nhà sản xuất block cũng được yêu cầu dừng tạo block mới.

Đến khoảng 2 giờ sáng theo giờ miền Đông Mỹ, dự án cho biết sự cố đã được khống chế và việc rút tiền qua cầu nối chính cùng kho token đã bị dừng hoàn toàn. Khi đó, kẻ khai thác đã kịp chuyển khoảng 2 triệu TAIKO, trị giá gần 170.000 USD, vào một tài khoản trên sàn MEXC.

Thiệt hại không lớn, nhưng lỗ hổng thuộc nhóm rủi ro rất đắt đỏ

Xét riêng giá trị bị mất, con số của Taiko không quá lớn. Tuy nhiên, lỗ hổng mà vụ việc này khai thác lại thuộc cùng nhóm cơ chế cross chain từng gây ra thiệt hại hàng trăm triệu USD trong năm nay.

Một số vụ tương tự đã xảy ra trong 2026, gồm:

1. Cầu nối của Kelp DAO bị rút mất 292 triệu USD trong tháng 4 do thông điệp cross chain bị giả mạo.
2. Cầu nối Verus Ethereum mất 11,4 triệu USD trong tháng 5 với cùng kiểu tấn công khiến một chuỗi tin vào chỉ dẫn giả từ chuỗi khác.
3. Tổng thiệt hại từ các vụ tấn công vào bridge trong năm 2026 đã vượt 340 triệu USD, qua ít nhất 14 vụ khai thác.

Taiko cho biết họ sẽ công bố báo cáo sự cố đầy đủ vào sáng thứ Hai theo giờ châu Á.

Bối cảnh của Taiko

Taiko ra mắt trên Ethereum vào tháng 5 năm 2024. Vụ việc lần này cho thấy ngay cả khi thiệt hại trực tiếp được kiểm soát, rủi ro từ hạ tầng cầu nối vẫn là một trong những điểm yếu nghiêm trọng nhất của hệ sinh thái tài sản số.