За выходные через Ethereum-мост второго уровня Taiko прошла утечка безопасности, в результате которой из протокола было выведено примерно 1,7 миллиона долларов, а команда была вынуждена остановить всю генерацию блоков и настоятельно призвать пользователей немедленно вывести свои средства. Взлом моста Taiko подорвал доверие к сети всего через два года после запуска мейннета — и украденные средства уже проходят через централизованные биржи.
Summary
Ключевые выводы
- Ethereum-мост второго уровня Taiko потерял примерно 1,7 миллиона долларов из-за эксплойта валидации доказательств.
- Уязвимость позволяла поддельным доказательствам сообщений обходить проверку и высвобождать средства из хранилища ERC20 без каких-либо легитимных событий на цепочке Taiko.
- Почти 2 миллиона токенов Taiko были переведены на биржу MEXC; около 1,5 миллиона долларов остаются на кошельках атакующего, в основном в Ether.
- Taiko остановил всю генерацию блоков и призвал всех пользователей моста немедленно вывести средства.
- По данным DeFiLlama, этот инцидент — один как минимум из 23 криптоэксплойтов, зафиксированных в июне 2026 года.
Эксплойт моста Taiko: что на самом деле произошло
Атака была направлена прямо на механизм проверки состояния цепочки Taiko — систему, отвечающую за подтверждение того, что сообщения, проходящие между основным уровнем Ethereum и сетью Taiko, являются легитимными. Ончейн-компания по безопасности Blockaid одной из первых обозначила проблему, выявив изъян в том, как мост проверял доказательства исходных сигналов.
Проще говоря: мост принимал специально сформированные доказательства сообщений как действительные на Ethereum L1, даже когда на исходной цепочке Taiko не происходило соответствующего события MessageSent. Этот разрыв позволил атакующему регистрировать мошеннические сообщения моста, а затем инициировать выводы средств, которые никогда не должны были быть одобрены.
Как средства покинули хранилище ERC20
После того как поддельные доказательства проходили проверку, атакующий использовал их для прямого вывода активов из хранилища ERC20 — без каких-либо легитимных событий на цепочке Taiko, которые могли бы обосновать эти выводы. Механизм был чистым и преднамеренным: фальшивое доказательство на входе, реальные средства на выходе.
Позже Taiko подтвердил это в постинцидентном обновлении: «Поддельные доказательства сообщений принимались на L1 без легитимного события на исходной цепочке, что позволило регистрировать мошеннические выводы и забирать средства из моста и хранилища токенов».
Первоначальные оценки Blockaid оценивали потери примерно в 1 миллион долларов. Последующий анализ от PeckShield и Lookonchain увеличил эту цифру до примерно 1,7 миллиона долларов — сумму, которую затем сам Taiko подтвердил как оценку убытков до приостановки.
Движение и статус украденных активов
Атакующий не стал терять времени, перемещая добычу. Почти 2 миллиона токенов Taiko — стоимостью примерно от 169 000 до 189 000 долларов на момент перевода в зависимости от цены исполнения — были отправлены на адрес на бирже MEXC. Этот шаг значим: проведение токенов через централизованную биржу — классическая попытка конвертировать и скрыть украденные активы до того, как усилия по их возврату смогут их заморозить.
Что показывает блокчейн-разведка
Согласно данным, отслеживаемым Arkham, примерно 1,5 миллиона долларов по состоянию на момент последней отчетности все еще находились на кошельках эксплойтера, причем большинство — в Ether, а не в нативном токене Taiko. Такое распределение говорит о том, что атакующий стратегически конвертировал часть добычи в более ликвидный актив, одновременно сбрасывая токены Taiko через MEXC для быстрой фиксации стоимости.
Taiko также официально попросил централизованные биржи приостановить депозиты своего нативного токена до особого распоряжения — шаг, призванный ограничить возможность атакующего обналичить оставшиеся активы.
Немедленная реакция Taiko и предупреждения пользователям
Скорость имела значение, и Taiko действовал быстро. Команда публично подтвердила компрометацию в X, приостановила все затронутые системы и остановила всех предлагающих блоки от генерации новых блоков на время расследования. Около 2:08 ночи по восточному времени в понедельник Taiko опубликовал обновление, подтвердив, что эксплойт был локализован и что выводы через L1 Bridge и ERC20Vault были полностью остановлены.
Предупреждение, которое пользователи не могли игнорировать
«На допущения о безопасности всех мостов, развернутых в Taiko, больше нельзя полагаться», — написала команда — резкое, необычно прямое признание того, что проблема шире, чем один контракт. Пользователям было настоятельно рекомендовано немедленно вывести средства со всех мостов Taiko, без каких-либо исключений.
Taiko также сообщил, что координирует действия со своим Советом по безопасности и партнерами экосистемы для локализации инцидента и готовит полный постмортем. Работа команды совместно с юридическими и техническими партнерами одновременно сигнализирует о том, что ответ не ограничится патчем — могут быть предприняты шаги по привлечению атакующего к ответственности.
Тот факт, что Taiko является based rollup — решением, которое полагается на валидаторов Ethereum для упорядочивания транзакций, а не на собственный выделенный секвенсор, — добавляет еще один уровень сложности тому, как разворачивается подобный эксплойт и как работает его локализация. Протокол запустился в мейннете в мае 2024 года, находясь в разработке с 2022 года.
Контекст: один из 23 криптоэксплойтов в июне 2026 года
Взлом моста Taiko произошел не в вакууме. По данным DeFiLlama, только в июне 2026 года было зафиксировано как минимум 23 криптоэксплойта, что делает его одним из самых активных месяцев по числу инцидентов безопасности в недавней истории.
Масштаб потерь в других местах значительно превосходит 1,7 миллиона долларов Taiko. Humanity Protocol пережил крупнейший взлом месяца, потеряв более 30 миллионов долларов. Syscoin Bridge был атакован более чем на 8 миллионов долларов. Secret Network потеряла 4,67 миллиона долларов из-за уязвимости бесконечной эмиссии всего за несколько дней до инцидента с Taiko. А пул ликвидности PancakeSwap был опустошен примерно на 1,1 миллиона долларов в тот же уикенд.
Мосты остаются одной из наиболее атакуемых инфраструктур в криптоиндустрии, и июнь 2026 года подчеркнул эту проблему с необычной силой. Сочетание сложной межцепочечной передачи сообщений, многосторонней проверки доказательств и высоколиквидных пулов создает поверхности атаки, которые даже хорошо аудированные системы с трудом могут полностью закрыть.
Влияние на цену токена Taiko
Нативный токен Taiko уже находился под давлением задолго до этого эксплойта. В настоящее время он торгуется по цене 0,084 доллара, что представляет собой падение на 98% от пика 2024 года. Утечка безопасности добавляет проблему доверия к уже напряженному ценовому графику — держатели, наблюдающие, как украденные токены поступают на MEXC, пока команда останавливает генерацию блоков, сталкиваются со сложной оценкой риска и перспектив восстановления.
То, обеспечит ли готовящийся постмортем от Taiko значимую техническую прозрачность — и сможет ли протокол продемонстрировать, что уязвимость валидации доказательств была изолированной, а не системной, — вероятно, определит, насколько быстро, и вообще, начнет ли восстанавливаться доверие пользователей.
FAQ
Как был взломан мост Taiko?
Взлом эксплуатировал уязвимость в том, как мост Taiko проверял доказательства исходных сигналов. Поддельные доказательства сообщений принимались как действительные на Ethereum L1 без каких-либо соответствующих легитимных событий на исходной цепочке Taiko, что позволило атакующему регистрировать мошеннические выводы и забирать средства из хранилища ERC20.
Какие действия предпринял Taiko после взлома?
Taiko остановил всю генерацию блоков, приостановил затронутые системы, призвал всех пользователей немедленно вывести средства со всех мостов, развернутых в протоколе, и попросил централизованные биржи приостановить депозиты его нативного токена. Команда также подтвердила, что координирует действия со своим Советом по безопасности и готовит полный постмортем.
Сколько было украдено и что произошло с украденными токенами?
Всего было украдено примерно 1,7 миллиона долларов. Почти 2 миллиона токенов Taiko — стоимостью примерно от 169 000 до 189 000 долларов на момент перевода — были перемещены атакующим на биржу MEXC. Около 1,5 миллиона долларов остается на кошельках эксплойтера, причем большинство — в Ether.
Каково более широкое значение этого взлома?
Взлом моста Taiko является частью более широкой картины как минимум 23 зафиксированных криптоэксплойтов в июне 2026 года, по данным DeFiLlama. Инциденты этого месяца включают гораздо более крупные взломы Humanity Protocol (более 30 миллионов долларов) и Syscoin Bridge (более 8 миллионов долларов), что подчеркивает устойчивые уязвимости в инфраструктуре кросс-чейн мостов по всей отрасли.
{«@context»:»https://schema.org»,»@type»:»FAQPage»,»mainEntity»:[{«@type»:»Question»,»name»:»Как был взломан мост Taiko?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Взлом эксплуатировал уязвимость в том, как мост Taiko проверял доказательства исходных сигналов. Поддельные доказательства сообщений принимались как действительные на Ethereum L1 без каких-либо соответствующих легитимных событий на исходной цепочке Taiko, что позволило атакующему регистрировать мошеннические выводы и забирать средства из хранилища ERC20.»}},{«@type»:»Question»,»name»:»Какие действия предпринял Taiko после взлома?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Taiko остановил всю генерацию блоков, приостановил затронутые системы, призвал всех пользователей немедленно вывести средства со всех мостов, развернутых в протоколе, и попросил централизованные биржи приостановить депозиты его нативного токена. Команда также подтвердила, что координирует действия со своим Советом по безопасности и готовит полный постмортем.»}},{«@type»:»Question»,»name»:»Сколько было украдено и что произошло с украденными токенами?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Всего было украдено примерно 1,7 миллиона долларов. Почти 2 миллиона токенов Taiko — стоимостью примерно от 169 000 до 189 000 долларов на момент перевода — были перемещены атакующим на биржу MEXC. Около 1,5 миллиона долларов остается на кошельках эксплойтера, причем большинство — в Ether.»}},{«@type»:»Question»,»name»:»Каково более широкое значение этого взлома?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Взлом моста Taiko является частью более широкой картины как минимум 23 зафиксированных криптоэксплойтов в июне 2026 года, по данным DeFiLlama. Инциденты этого месяца включают гораздо более крупные взломы Humanity Protocol (более 30 миллионов долларов) и Syscoin Bridge (более 8 миллионов долларов), что подчеркивает устойчивые уязвимости в инфраструктуре кросс-чейн мостов по всей отрасли.»}}]}
Статья подготовлена при содействии искусственного интеллекта и проверена редакционной командой.
