Головне за хвилину:
- Ethereum L2 платформа Taiko підтвердила компрометацію механізму верифікації стану ланцюга.
- Користувачам рекомендовано терміново вивести кошти з усіх мостів, розгорнутих на Taiko.
- Втрати оцінюються в $1.7-2.2 млн, атакувальники використали підроблені докази повідомлень.
- Централізовані 👉 біржі отримали запит на призупинення депозитів токена TAIKO до офіційного повідомлення.
Команда Octobit розібрала технічні деталі інциденту та наслідки для всієї екосистеми L2.
⚠️ Security Notice
1/2: We have confirmed a compromise of Taiko’s chain state verification mechanism. As a result, the security assumptions of all bridges deployed on Taiko can no longer be relied upon.
We are actively coordinating with the Security Council and ecosystem…
— Taiko.eth 🥁 (@taikoxyz) June 22, 2026
Що саме зламали в Taiko
Атака вдарила по source-signal proof validation — механізму, який перевіряє, чи дійсно сталася подія на вихідному ланцюзі. Простими словами: міст має переконатися, що повідомлення “виведи токени” справді прийшло з Taiko, а не підроблене зловмисником.
Blockaid (фірма з кібербезпеки) встановила: атакувальники змогли створити фальшиві докази повідомлень, які Ethereum L1 прийняв за валідні. При цьому на вихідному ланцюзі Taiko не було жодної легітимної події MessageSent. Bitcoin Foundation повідомляє, що це дозволило зареєструвати підроблені bridge messages та вивести кошти з ERC20 vault.
Факт: 21 червня о 22:07 UTC з контракту Taiko: ERC20 Vault на адресу атакувальника пішло 649,761 USDC. Etherscan підтверджує транзакцію. Це не абстракція — це конкретний вивід коштів через пробій у верифікації.
Taiko офіційно заявив: безпекові припущення всіх мостів, розгорнутих на платформі, більше не можна вважати надійними. Тобто не один конкретний міст під загрозою, а вся bridge-інфраструктура Taiko.
Чому proof validation стала точкою виходу
Ethereum L2 міст працює на довірі між середовищами. Один ланцюг каже: “У мене сталася подія X”. Інший ланцюг перевіряє докази і виконує дію — скажімо, розблокує токени з vault.
У випадку Taiko спірний шлях зосереджувався на питанні: чи дійсно message proof, прийнятий на Ethereum L1, відповідає легітимній події на вихідному ланцюзі Taiko? Наслідок простий: якщо destination side приймає повідомлення, якого source side ніколи не створював, міст випускає активи начебто справжній 👉 withdrawal відбувся.
Для користувачів це виглядає як зниклі кошти, призупинені маршрути, невизначені баланси або інструкція на виведення, яка приходить раніше за повний публічний розбір.
У протокольній архітектурі, описаній в аудиті OpenZeppelin, компоненти SignalService, Bridge та ERC20Vault знаходяться близько до цього шляху. Міст потребує надійного способу довести source-chain signal, а vault зберігає активи, які можуть бути звільнені, коли система приймає валідне повідомлення.
Попередження Taiko змінює поведінку з рутинного використання мосту на негайне управління виходом — навіть до того, як екосистема отримає повний публічний звіт про кожен уражений маршрут. Це практична грань source-signal failure.
Користувач L2 мосту зазвичай взаємодіє з балансом токенів та маршрутом виведення, тоді як безпекова обіцянка залежить від того, наскільки точно chain event верифікується між системами. Як тільки ця обіцянка під сумнівом, релевантне питання змінюється з “який додаток виглядає нормально” на “які повідомлення протокол все ще може розпізнати як легітимні”.
Хронологія інциденту Taiko
Докази руху коштів та питання відновлення
On-chain дані показують конкретний приклад, залишаючи загальну картину втрат невизначеною. Транзакція в Etherscan зафіксувала рух 649,761.236201 USDC з контракту Taiko: ERC20 Vault на адресу Taiko Bridge Exploiter 1 21 червня о 22:07:23 UTC.
Ця транзакція прив’язує абстрактну проблему з доказами до спостережуваного руху активів. Це одна точка даних з bridge-vault шляху, залишаючи фінальний облік команді Taiko та будь-яким пізнішим forensic оновленням.
PeckShield спочатку оцінив втрати приблизно в $1.7 млн і повідомив, що 1.99 млн TAIKO (приблизно $189,12K) переміщено на MEXC. Подальші оновлення від проєкту вказали на втрати близько $2.2 млн, при цьому Taiko зазначив, що кошти постраждалих користувачів очікується відшкодувати з протокольного treasury.
Еволюція оцінок підкреслює: процес обліку тривав після початкового попередження про міст, і ранні цифри втрат слід розглядати як попередні, а не фінальні. Доларова сума підтверджує серйозність інциденту, тоді як операційна проблема ширша: rollup bridge потребує надійних припущень щодо chain state та message-proof, перш ніж користувачі зможуть вважати withdrawals, bridge routes та vault balances безпечними.
CryptoTimes повідомляє, що атакувальники експлуатували leaked SGX signing key для підробки bridge proofs — це додає ще один технічний шар до розслідування.
Більше випадків з мостами та bridge-інфраструктурою ми регулярно розбираємо в розділі 👉 новини Ethereum.
🔮 Чого чекати далі?
Taiko стоїть перед складним вибором: швидко відновити функціональність або повільно, але ретельно перебудувати довіру. Користувачі не повернуться до мостів, поки не побачать чіткого пояснення, які контракти зачеплені, які маршрути безпечні, і яка гарантія, що старі повідомлення не можуть бути знову зловжиті. Обіцянка відшкодування з treasury — добрий жест, але не замінює технічної впевненості. Якщо команда зробить це правильно, інцидент може стати кейсом відповідальної реакції. Якщо ні — Taiko ризикує втратити не тільки кошти, а й репутацію в екосистемі L2.
Чому попередження виходить за межі Taiko
Taiko — безпосередній об’єкт. Попередження також торкається більшої дебати про безпеку L2. Rollups часто конкурують за швидкість, вартість, roadmaps децентралізації та proof systems. Користувачі відчувають безпеку через більш практичне питання: чи працюють депозити, виведення та bridge messages, коли щось йде не так.
Профілі ризику для rollups часто залежать від proving та verification assumptions, і профіль Taiko на L2Beat розміщує ці припущення близько до центру моделі довіри мережі. Міст — це місце, де абстрактні гарантії стають операційними обіцянками: destination chain має випускати активи тільки тоді, коли source chain event реальний.
Тому попередження Taiko було суворим. Воно сказало користувачам: припущення за всіма мостами, розгорнутими на мережі, більше не можна вважати надійними. Нормальний процес, який користувачі зазвичай використовують (додаток → міст → 👉 гаманець → біржа), раптом дав їм менше інформації про те, де концентрується ризик.
Наступний сигнал буде офіційним поясненням, яке відновить цю карту. Достовірне оновлення має прояснити, які контракти зачеплені, bridge routes, обробка message-proof, remediation steps та будь-які залишкові обмеження на withdrawals або deposits.
Користувачі будуть шукати докази, що уражені кошти враховані, що обробка message-proof зміцнена, і що будь-які відновлені bridge operations підкріплені чітко визначеними безпековими припущеннями. Інцидент тому залишається тестом rollup security у його найпрактичнішій формі: чи можуть користувачі перевірити, що bridge layer знову заслуговує довіри після збою proof system.
Висновки
Словник
- Source-signal proof validation: Механізм верифікації, який перевіряє, чи дійсно подія (наприклад, виведення токенів) сталася на вихідному ланцюзі перед виконанням дії на цільовому ланцюзі.
- Message proof: Криптографічний доказ того, що повідомлення було створено на одному блокчейні і може бути безпечно прийняте іншим блокчейном.
- ERC20 Vault: Смарт-контракт, який зберігає ERC-20 токени в мосту між ланцюгами; випускає їх тільки за умови валідного доказу виведення.
- SGX signing key: Криптографічний ключ, який використовується в Intel Software Guard Extensions для підпису довірених операцій; його витік дозволяє атакувальникам підробляти валідні підписи.
- L2Beat: Аналітична платформа, яка оцінює безпеку та децентралізацію Ethereum Layer-2 рішень на основі технічних параметрів.
