Taiko sufre un ataque con pérdidas de aproximadamente 1,7 millones de dólares; el puente entre cadenas y la bóveda se suspenden de emergencia

Taiko publicó el 22 de junio en X una alerta de seguridad en la que afirma que ya confirmó que el mecanismo de verificación del estado en cadena de Taiko fue comprometido, por lo que ya no se pueden seguir confiando las suposiciones de seguridad de todos los puentes entre cadenas desplegados en Taiko. Los puentes entre cadenas y la bóveda (vault) se han suspendido; los puentes entre cadenas están desconectados en ambos sentidos, y las transacciones pendientes se encuentran en estado de pausa en lugar de haberse perdido. Blockaid realiza el monitoreo; Taiko sufrió una pérdida de más de 1 millón de dólares en el ERC20 Vault.

Medidas de respuesta urgente de Taiko: pausa del puente, solicitudes de depósito en intercambios, divulgación de la dirección del atacante

De acuerdo con la declaración pública de Taiko en la plataforma X, las medidas de emergencia adoptadas incluyen:

· Tanto el puente entre cadenas como la bóveda están pausados; los fondos ya no pueden volver a extraerse; el puente entre cadenas está desconectado en ambos sentidos;

· Se está coordinando con el comité de seguridad y socios colaboradores del ecosistema para controlar la situación y pausar, en la medida de lo posible, los sistemas afectados;

· Solicitud urgente a todos los intercambios centralizados para que suspendan los depósitos del token TAIKO hasta recibir una notificación oficial;

· La dirección del atacante ya se ha publicado;

· Se están tomando todas las acciones técnicas y legales necesarias.

Taiko también aclaró que las transacciones pendientes se encuentran en estado de pausa, no perdidas.

Mecanismo técnico del ataque analizado por Blockaid: deficiencia en la verificación de la prueba de la señal de origen

Según el análisis de monitoreo de seguridad de Blockaid, la causa técnica raíz de este ataque es una deficiencia en la verificación de la prueba de la señal de origen del puente entre cadenas de Taiko: la prueba de mensajes construida se acepta como válida en Ethereum L1, sin que exista el evento legítimo correspondiente MessageSent en la cadena de origen de Taiko. Esto permite que el atacante registre y extraiga mensajes entre cadenas fraudulentos, liberando así activos del ERC20 Vault sin autorización.

Flujo de fondos rastreado por PeckShield: pérdida de 1,70 millones de dólares, 1,99 millones de TAIKO transferidos a MEXC

El monitoreo on-chain de PeckShield muestra que la pérdida total del incidente del ataque de Taiko es de aproximadamente 1,70 millones de dólares; el atacante ya transfirió 1,99 millones de tokens TAIKO (equivalentes, según el precio de ese momento, a aproximadamente 189 mil dólares) a la exchange MEXC. Anteriormente, Blockaid informó que la pérdida del ERC20 Vault superó los 1 millón de dólares como cifra de divulgación inicial del incidente.

Preguntas frecuentes

¿Las transacciones pendientes del puente entre cadenas de Taiko se perderán?

Según la declaración oficial de Taiko, las transacciones pendientes se encuentran en estado de “pausa” y no se pierden; las retiradas pendientes de los usuarios no desaparecen, sino que temporalmente no se pueden procesar hasta que se reanude el puente.

¿Qué acción debería tomar el usuario ahora mismo de inmediato?

Taiko, en su comunicado, “recomienda encarecidamente que todos los usuarios extraigan fondos de todos los puentes entre cadenas desplegados en Taiko de inmediato”. Debido a que el comité de seguridad ha suspendido las operaciones del puente en ambos sentidos, los pasos concretos dependen de los anuncios oficiales posteriores. Al mismo tiempo, Taiko ha solicitado a todas las exchanges centralizadas suspender los depósitos del token TAIKO hasta recibir una notificación oficial.

¿El fallo técnico de este ataque ya fue corregido?

Según el aviso oficial disponible al momento del reporte, Taiko indicó que el incidente está controlado y que se han pausado el puente entre cadenas y la bóveda, pero aún no se ha anunciado que la vulnerabilidad haya sido reparada o cuándo se reanudará el puente. Taiko se comprometió a proporcionar actualizaciones adicionales cuando haya más información disponible.