Taiko, Ethereum-based-роллап, запущенный в мейннете в мае 2024 года, подтвердил компрометацию механизма верификации состояния блокчейна. Компания по безопасности Blockaid первой зафиксировала активную атаку на ERC-20 Vault Taiko в Ethereum; аналитическая платформа PeckShield оценила общий ущерб в $1.7 млн. Скомпрометированы допущения безопасности всех мостов, развёрнутых на протоколе. Злоумышленник вывел часть средств — около 1.99 млн токенов TAIKO на $169 700 — на адрес биржи MEXC. Команда Taiko призвала всех пользователей немедленно вывести средства из всех мостов.

Ключевые данные об атаке:

  • Протокол: Taiko — based rollup, записывает активность в Ethereum mainnet
  • Обнаружен: 22 июня 2026 — Blockaid зафиксировал атаку и сообщил в X
  • Ущерб: ~$1.7 млн (PeckShield) / ~$1 млн (первоначальная оценка Blockaid)
  • Уязвимость: source-signal proof validation — поддельные message proof принимались как валидные на Ethereum L1 без соответствующих событий MessageSent на Taiko
  • Действия злоумышленника: 1.99 млн TAIKO выведено на MEXC; команда раскрыла 4 адреса атакующих
  • Статус: производство новых блоков остановлено; мосты заморожены
  • Рекомендация: немедленно вывести средства из ВСЕХ мостов Taiko

Детали инцидента приводит The Block. Технический вектор атаки — подделка proof в системе верификации источника сообщений между Taiko и Ethereum L1. При нормальной работе моста событие MessageSent на L1 авторизует соответствующую операцию на L2. Уязвимость позволила злоумышленнику создать поддельные message proof, принятые на Ethereum L1 как валидные, — без реального соответствующего события на стороне Taiko. По сути, атакующий убедил мостовой контракт в существовании транзакций, которых не было. По данным DeFiLlama, в июне 2026 года зафиксировано уже более 20 крипто-взломов.

Taiko использует Ethereum-валидаторов для секвенирования транзакций — без собственного секвенсора. Этот архитектурный выбор усложняет экстренную координацию: у протокола нет единой точки контроля для мгновенного замораживания активности. Инцидент вписывается в устойчивый паттерн крупнейших DeFi-взломов — уязвимости в мостах и механизмах межсетевой верификации продолжают оставаться главным вектором атак по объёму ущерба, значительно опережая ошибки в смарт-контрактах.

Вердикт редакции: $1.7 млн — относительно небольшая сумма для DeFi-взлома 2026 года, но значимость инцидента определяется типом уязвимости: скомпрометирован механизм верификации состояния цепи — ядро безопасности роллапа. Под вопросом оказались фундаментальные допущения безопасности всей мостовой архитектуры Taiko. Как протокол восстановит верификацию и доверие к мостам на ослабленном рынке — вопрос ближайших дней. Следите за ключевыми трендами крипторынка 2026.

⚠️ Дисклеймер: Ситуация развивается. Если у вас есть средства в мостах Taiko — выведите их немедленно. Материал носит информационный характер — DYOR.

© 2026 Cryptium.ru