Ce qu’il faut retenir :
- Taiko, rollup adossé à Ethereum, confirme un piratage et presse ses utilisateurs de retirer leurs fonds des ponts.
- Le préjudice est estimé à environ 1,7 million de dollars selon PeckShield et l’équipe du protocole.
- La faille viendrait de la vérification des preuves de messages du pont, d’après la société Blockaid.
Le rollup Taiko, une solution de seconde couche (Layer 2) adossée à Ethereum, a suspendu la production de nouveaux blocs ce lundi après avoir confirmé une attaque contre son pont. L’équipe presse l’ensemble de ses utilisateurs de retirer immédiatement leurs fonds des ponts (bridges) déployés sur le réseau. Le préjudice est estimé à environ 1,7 million de dollars.
Comment le pont de Taiko a-t-il été piraté ?
L’attaquant a exploité une faille dans la vérification des preuves de messages du pont, selon Taiko. Des preuves falsifiées ont été acceptées sur la couche de base d’Ethereum, la « L1 », sans qu’aucun événement légitime n’ait eu lieu sur la chaîne d’origine. Le pirate a ainsi pu enregistrer de faux retraits et siphonner les fonds du pont et du coffre de tokens (token vault).
La société de sécurité on-chain Blockaid, qui avait donné l’alerte la première, pointe une faille dans la validation des preuves de signal du pont. D’après elle, des preuves fabriquées ont été validées sur Ethereum sans les événements MessageSent correspondants sur la chaîne Taiko, ce qui a permis au pirate de récupérer des messages de pont frauduleux et de libérer des actifs du coffre ERC20.
Quelles sont les pertes et où sont passés les fonds ?
Les premières estimations divergeaient. Blockaid chiffrait le vol autour de 1 million de dollars, avant que la plateforme d’analyse PeckShield ne relève le montant à environ 1,7 million de dollars, un chiffre confirmé depuis par Taiko. Selon PeckShield, l’attaquant a déplacé 1,99 million de tokens Taiko, soit près de 169 702 dollars, vers une adresse hébergée sur la plateforme d’échange MEXC.
Pour limiter la casse, Taiko a demandé aux plateformes d’échange centralisées de suspendre sans délai les dépôts de son token natif. Vers 2 h 08 du matin, heure de New York, le protocole indiquait avoir contenu l’attaque : les retraits via le pont L1 et le coffre ERC20Vault ont été entièrement bloqués. L’équipe coordonne sa réponse avec son Security Council et prévoit des actions techniques et juridiques.
Un « based rollup » à l’épreuve
Taiko appartient à la catégorie des « based rollups », des rollups qui s’appuient sur les validateurs de blocs d’Ethereum pour ordonner les transactions, plutôt que sur un séquenceur maison. Lancé sur son réseau principal en mai 2024 après deux ans de développement, le protocole se présentait comme l’une des architectures les plus alignées sur Ethereum. Le pont visé par l’attaque, qui relie le Layer 2 à la chaîne mère, compte parmi ses composants les plus sensibles.
Et maintenant ?
Taiko prépare un post-mortem complet de l’incident. Pour les utilisateurs, la priorité reste le retrait des fonds tant que la sécurité du protocole n’est pas rétablie. Restent en suspens l’ampleur définitive des pertes, le sort des tokens transférés vers MEXC et la réaction du cours du token TAIKO une fois les dépôts rouverts sur les plateformes.
Cet article vous a plu ? Recevez les prochains par email
Rejoignez +40 000 abonnés. L'essentiel du marché crypto dans votre boîte mail, tous les 2 jours.
