Мост Taiko взломан: $1,7 млн украдены через подделку доказательств
Ethereum Layer 2-сеть Taiko остановила производство блоков и призвала всех пользователей немедленно вывести средства из мостов после того, как злоумышленник воспользовался критической уязвимостью в механизме верификации состояний цепи. По оценкам команды, общий ущерб составил около $1,7 млн.
Атака была осуществлена через подделку кросс-чейн доказательств: фиктивные запросы на вывод средств принимались на уровне Ethereum L1 без соответствующих транзакций в самой сети Taiko. Это позволило атакующему зарегистрировать мошеннические сообщения через мост и опустошить хранилище токенов ERC-20. Фирма безопасности BlockSec предположила, что ключевой причиной стала утечка приватного ключа подписи Raiko SGX enclave — прувер-стека Taiko для генерации доказательств — в публичный репозиторий GitHub.
Команда немедленно активировала Совет безопасности, приостановила основной мост и хранилище токенов, а также попросила централизованные биржи приостановить депозиты TAIKO. По данным PeckShield и Lookonchain, атакующий успел перевести около 2 млн TAIKO (≈$170 000) на аккаунт биржи MEXC. Биржи Upbit и Bithumb превентивно заморозили депозиты и выводы токена.
Хотя долларовые потери относительно невелики, сам механизм уязвимости повторяет схему, которая в 2026 году уже обошлась отрасли более чем в $340 млн в результате минимум 14 эксплойтов мостов. В апреле через аналогичную атаку с подделкой кросс-чейн сообщений у Kelp DAO было похищено $292 млн, в мае — $11,4 млн из моста Verus-Ethereum. Согласно данным DeFiLlama, только в июне 2026 года зафиксировано свыше 23 взломов криптопротоколов.
Taiko — это based rollup, то есть сеть, полагающаяся на валидаторов Ethereum L1 для секвенирования транзакций. Проект был запущен в мае 2024 года и позиционировался как первый based rollup на Ethereum. По состоянию на момент публикации команда подтвердила, что эксплойт локализован; полный отчёт об инциденте обещан позднее.
Для рынка произошедшее — очередное напоминание о том, что мосты остаются самым уязвимым звеном Web3-инфраструктуры. Утечка криптографических ключей в публичный код — системная проблема, которая при масштабировании экосистемы L2 будет только обостряться.






