Cầu nối của layer-2 Taiko bị tấn công, thiệt hại hơn 1,7 triệu USD

Taiko bị hacker khai thác lỗ hổng xác thực, thất thoát hơn 1,7 triệu USD, khẩn cấp yêu cầu người dùng rút tiền khỏi toàn bộ bridge.

Cầu nối của layer-2 Taiko bị tấn công, thiệt hại hơn 1,7 triệu USD

Hacker tấn công cơ chế xác thực của cầu nối Taiko

Vào ngày 22/06, layer-2 Taiko đã phát đi thông báo khẩn xác nhận cơ chế xác thực trạng thái chuỗi (chain state verification mechanism) của mạng lưới đã bị xâm phạm.

⚠️ Security Notice

1/2: We have confirmed a compromise of Taiko’s chain state verification mechanism. As a result, the security assumptions of all bridges deployed on Taiko can no longer be relied upon.

We are actively coordinating with the Security Council and ecosystem…

— Taiko.eth 🥁 (@taikoxyz) June 22, 2026

Theo đội ngũ phát triển, sự cố này đã ảnh hưởng đến cơ chế xác thực cốt lõi của mạng lưới, khiến các cầu nối (bridge) đang hoạt động trên Taiko không còn an toàn như trước.

Dự án khuyến cáo người dùng ngay lập tức rút toàn bộ tài sản khỏi tất cả các bridge đang hoạt động trên hệ sinh thái, không thực hiện thêm giao dịch bridge mới cho đến khi có thông báo mới, đồng thời tránh tương tác với địa chỉ ví của hacker.

Taiko cũng cho biết đang phối hợp cùng Hội đồng Bảo mật và các đối tác trong hệ sinh thái để khoanh vùng sự cố, tạm dừng những hệ thống bị ảnh hưởng cũng như triển khai các biện pháp kỹ thuật và pháp lý cần thiết. Để hạn chế rủi ro, Layer-2 này hiện đã tạm dừng tạo block mới trong lúc đội ngũ kỹ thuật tiến hành điều tra nguyên nhân vụ việc.

Ngoài ra, dự án còn đề nghị các sàn CEX khẩn cấp tạm ngừng quy trình nạp token TAIKO cho đến khi có thông báo chính thức tiếp theo.

Ngay sau khi nhận được cảnh báo từ đội ngũ Taiko, sàn giao dịch MEXC cho biết đã tạm dừng nạp TAIKO, đồng thời đóng băng các tài khoản liên quan và phối hợp với dự án để hỗ trợ công tác điều tra cũng như bảo vệ tài sản của người dùng. MEXC khẳng định sẽ tiếp tục theo dõi sát diễn biến vụ việc và cập nhật thêm thông tin khi có kết quả mới.

🛡️ Important Notice for TAIKO Holders

Following notification from the Taiko team regarding an ongoing security incident, MEXC has temporarily suspended TAIKO deposits.

Upon receiving the alert, our team immediately froze the relevant accounts and has been working closely with…

— MEXC Customer Support (@MEXC_CST) June 22, 2026

Theo dữ liệu từ Lookonchain, vụ tấn công đã khiến Taiko thất thoát khoảng 1,7 triệu USD tài sản. Cụ thể, địa chỉ ví liên quan đến kẻ tấn công đã nạp 1,99 triệu token TKO trị giá khoảng 189.000 USD lên sàn MEXC trước đó và vẫn đang nắm giữ khoảng 870,8 ETH có giá trị hơn 1,52 triệu USD.

Taiko(@taikoxyz) was exploited for ~$1.7M!🚨

The attacker has already deposited 1.99M $TKO($189K) to $MEXC and still holds 870.8 $ETH($1.52M). pic.twitter.com/hejoAxzyW5

— Lookonchain (@lookonchain) June 22, 2026

Nguyên nhân xuất phát từ lỗ hổng xác thực trên bridge

Theo phân tích ban đầu từ công ty bảo mật Blockaid, vụ tấn công bắt nguồn từ lỗ hổng trong cơ chế xác thực source-signal proof của Taiko Bridge.

The root cause appears to be a flaw in Taiko bridge source-signal proof validation. Crafted message proofs were accepted as valid on Ethereum L1 without corresponding legitimate MessageSent events on the Taiko source chain.

This allowed the attacker to register and later…

— Blockaid (@blockaid_) June 21, 2026

Cụ thể, hacker đã tạo ra các bằng chứng giả giả mạo nhưng vẫn được hệ thống xác thực trên Ethereum chấp nhận là hợp lệ, dù thực tế không hề tồn tại giao dịch hay MessageSent tương ứng trên mạng lưới Taiko. Điều này cho phép kẻ tấn công tạo ra các thông điệp bridge giả và sử dụng chúng để rút tài sản khỏi ERC20 Vault trên Ethereum một cách trái phép.

Trong khi đó, một số chuyên gia bảo mật cho rằng vụ việc có thể liên quan đến hệ thống multi-prover mà Taiko đang sử dụng.

🚨 Taiko Bridge Exploit: ~$1.7M Drained from Vault – Withdraw Funds NOW

1/ 🚨 Taiko Network Hit by Major Security Incident – Bridge Exploit

On June 22, 2026, @taikoxyz officially confirmed a compromise of Taiko’s chain state verification mechanism.

As a result, the security… pic.twitter.com/OWyLKLkzHm

— RaFi (@RoanRafi) June 22, 2026

Taiko là dự án based rollup đầu tiên trên Ethereum. Khác với nhiều mạng layer-2 hiện nay phụ thuộc vào sequencer tập trung, Taiko cho phép các validator của Ethereum tham gia trực tiếp vào quá trình xác thực và sắp xếp block.

Để tăng tốc độ xử lý giao dịch trong giai đoạn chuyển đổi sang mô hình zk-proof hoàn chỉnh, Taiko triển khai cơ chế multi-prover cho phep nhiều phương thức tạo proof khác nhau trên mạng lưới.

Từ đó, hacker đã lợi dụng cơ chế đăng ký prover mở của Taiko để tạo một thành phần xác thực giả mạo lên mạng lưới, sau đó gửi các bằng chứng (proof) không hợp lệ nhưng vẫn vượt qua được quy trình kiểm tra của hệ thống. Nhờ vậy, hacker có thể tạo ra các thông điệp bridge giả và sử dụng chúng để rút tài sản khỏi vault trên Ethereum.

Điều khiến cộng đồng lo ngại không nằm ở số tiền bị đánh cắp, mà là phạm vi ảnh hưởng của sự cố. Vụ việc không chỉ tác động đến bridge chính thức của dự án mà còn ảnh hưởng đến các giả định bảo mật đang được sử dụng bởi toàn bộ bridge triển khai trên mạng lưới. Vì vậy, tất cả người dùng đang khóa tài sản trong các bridge trên Taiko đều có thể đối mặt với rủi ro cho đến khi sự cố được khắc phục hoàn toàn.

Mặc dù vừa trải qua sự cố bảo mật nghiêm trọng, giá TAIKO lại không ghi nhận phản ứng tiêu cực trên thị trường. Ngược lại, token này còn tăng hơn 2,4% trong 24 giờ qua và hiện dao động quanh mức 0,08 USD, thậm chí có thời điểm tăng vọt lên 0,09 USD.

Biến động giá TAIKO trong 24 giờ qua, ảnh chụp màn hình trên CoinGecko lúc 11:25 AM ngày 22/06/2026

Diễn biến giá bất thường này được cho là xuất phát từ việc nhiều người dùng đã chuyển đổi các tài sản đang nắm giữ trên Taiko sang token TAIKO rồi nạp trực tiếp lên các sàn CEX để rời khỏi hệ sinh thái. Nhu cầu mua phát sinh trong quá trình này có thể đã tạo ra áp lực mua ngắn hạn, giúp giá TAIKO tăng vọt bất chấp những thông tin tiêu cực liên quan đến vụ tấn công.

Coin68 tổng hợp