Exploit en el puente de Taiko drena aproximadamente 1,7 millones de dólares de su bóveda ERC20
Taiko, la capa 2 construida sobre Ethereum, confirmó una vulnerabilidad crítica en su mecanismo de verificación de estado que permitió el drenaje de cerca de 1,7 millones de dólares en activos digitales. El equipo del proyecto alertó de inmediato a los usuarios para retirar sus fondos de todos los puentes desplegados en la red, tras determinar que las garantías de seguridad actuales ya no pueden considerarse confiables.
We have seen a ~$1.7M exploit on @taikoxyz bridge.
The attacker derived the 'trustedUserMrSigner' from public available "enclave-key.pem", used it to register SGX instances that sign off on malicious withdrawals.https://t.co/gNwia9gb8j
Stay Vigilant! pic.twitter.com/n5Iq1J2PWp
— CertiK Alert (@CertiKAlert) June 22, 2026
De acuerdo con el análisis de firmas de seguridad on-chain y la comunicación del propio protocolo, el fallo se originó en la validación de pruebas de señales de origen del puente. El sistema opera con un registro de demostradores sin permisos, abierto también a instancias SGX (Secure Enclave).
Un actor externo registró una instancia alterada y envió pruebas de cruce que fueron aceptadas en la capa principal de Ethereum sin contar con los eventos legítimos correspondientes en la cadena de Taiko. Esta discrepancia en la verificación permitió autenticar mensajes fraudulentos y liberar activos sin autorización desde el contrato inteligente ERC20 Vault.
Los datos de rastreo de la Blockchain indican que los fondos extraídos incluyeron aproximadamente 650.000 USDC y 130 ETH, junto con tokens TAIKO. Las estimaciones sobre el valor total del incidente varían entre 1 millón y 1,7 millones de dólares, dependiendo de la valuación de los activos en el momento de las transacciones. Observadores de seguridad señalaron que una parte de los tokens TAIKO fue trasladada posteriormente a la plataforma MEXC, mientras que las direcciones vinculadas al incidente mantienen un saldo cercano a 1,5 millones de dólares en ETH.
Taiko informó que había pausado los sistemas afectados y está coordinando con sus socios para contener el alcance operativo. El proyecto publicó cuatro direcciones de cartera confirmadas vinculadas al ataque y mantiene activos sus canales para actualizar a la red a medida que avance la contención.
El alcance exacto sobre otros contratos desplegados en la red sigue siendo evaluado por el equipo de desarrollo. La confirmación adicional de fondos recuperados y los detalles técnicos finales de la actualización de seguridad permanecen pendientes de verificación oficial, mientras la comunidad monitorea el comportamiento de las direcciones identificadas y la estabilidad de los puentes restantes.
