Puntos clave de la noticia:
- Taiko pidió a los usuarios retirar activos de todos los bridges después de que un compromiso en la verificación del estado de la cadena permitiera retiros no autorizados.
- Los atacantes usaron pruebas o mensajes de retiro falsificados que fueron aceptados en Ethereum sin actividad legítima correspondiente en Taiko, drenando hasta $1.7 millones.
- Taiko pausó sistemas afectados, detuvo retiros y pidió a exchanges suspender depósitos de TAIKO mientras las pérdidas por exploits de bridges en 2026 ya superan $340 millones.
La emergencia del bridge de Taiko convirtió un temor conocido del mundo cross-chain en una advertencia inmediata para los usuarios, después de que atacantes drenaran hasta $1.7 millones mediante retiros no autorizados vinculados a su infraestructura de bridge en Ethereum. El proyecto layer-2 de Ethereum pidió a los usuarios retirar activos de todos los bridges desplegados en Taiko, señalando que un compromiso en la verificación del estado de la cadena hacía que las garantías de seguridad del bridge ya no pudieran considerarse confiables. La lección inquietante es que una sola falla de validación de pruebas puede amenazar todo un stack de bridges, incluso cuando la pérdida absoluta sea modesta frente a otros exploits DeFi.
⚠️ Security Notice
We have confirmed a compromise of Taiko’s chain state verification mechanism. As a result, the security assumptions of all bridges deployed on Taiko can no longer be relied upon.
We are actively coordinating with the Security Council and ecosystem partners to…
— Taiko.eth 🥁 (@taikoxyz) June 22, 2026
El exploit apuntó al bridge de Taiko y al vault ERC20 en Ethereum mediante la aceptación de pruebas de retiro falsificadas que parecían válidas sin coincidir con actividad legítima en la cadena fuente de Taiko. Análisis de seguridad describieron mensajes fraudulentos de bridge que fueron registrados y luego recuperados, liberando activos reales desde el vault. Taiko pausó los sistemas afectados, detuvo los retiros mediante el bridge principal y el vault de tokens, y pidió a exchanges centralizados suspender depósitos de TAIKO mientras los productores de bloques dejaban de producir nuevos bloques durante la investigación. Eso convierte la contención en la primera prioridad, porque una vez que mensajes cross-chain falsificados pasan la verificación, la velocidad importa más que la comunicación posterior.
The root cause appears to be a flaw in Taiko bridge source-signal proof validation. Crafted message proofs were accepted as valid on Ethereum L1 without corresponding legitimate MessageSent events on the Taiko source chain.
This allowed the attacker to register and later…
— Blockaid (@blockaid_) June 21, 2026
Las pruebas falsificadas vuelven a exponer la fragilidad de los bridges
Las primeras revisiones de seguridad apuntaron a una falla de validación de source-signal, mientras otra investigación sugirió que una clave de firma expuesta del enclave Raiko SGX pudo haber permitido a los atacantes registrar provers y firmar pruebas fraudulentas. Taiko aún no ha publicado su informe completo del incidente, por lo que la redacción final sobre la causa raíz todavía importa. Aun así, el patrón operativo es claro: solicitudes de retiro falsas fueron aceptadas en Ethereum sin depósitos o mensajes correspondientes en Taiko. En términos prácticos, el exploit atacó la confianza entre cadenas, no un simple error de wallet ni un bug aislado en un contrato de token.
El impacto de mercado llegó rápido. Taiko estimó pérdidas cercanas a $1.7 millones antes de contener las salidas, mientras otros rastreadores ubicaron los activos robados entre al menos $1 millón y $1.7 millones. El token TAIKO cayó más de 20% tras el incidente, y fondos vinculados al atacante incluyeron cerca de 2 millones de TAIKO movidos a MEXC, además de wallets con aproximadamente $1.5 millones, mayormente en ETH. La preocupación más amplia supera a Taiko. Los bridges ya han generado más de $340 millones en pérdidas en al menos 14 exploits este año, incluyendo incidentes de Kelp DAO y Verus-Ethereum. Para los usuarios, la advertencia de Taiko es otro recordatorio de que los bridges siguen siendo el tejido conectivo más débil de DeFi.
