BlockSec Phalcon 发布了对 Taiko 平台近期安全事件的初步分析报告。据悉,此次事件的根本原因可能与 Taiko 多证明者组件 Raiko 的 SGX enclave 签名密钥在 GitHub 公开暴露有关。攻击者利用这一泄露密钥,成功注册了恶意控制的 SGX 实例,绕过了证明验证机制,并伪造了状态及信号证明。随后,攻击者通过伪造的来源信号,将虚假的跨链消息标记为“RETRIABLE”状态,进而调用 retryMessage 函数,从 ERC20Vault 合约中提取了位于 L1 层的资产。这一事件暴露了 SGX 签名密钥管理不当所带来的严重安全风险,引发了行业对于跨链协议防护措施的广泛关注。
