La red de capa 2 basada en Ethereum, Taiko, ha suspendido la producción de bloques en respuesta a un ataque a su puente, instando a los usuarios a retirar sus activos de los puentes de la red. El equipo de Taiko reveló que aproximadamente 1.7 millones de dólares en activos se perdieron antes de que el ataque fuera contenido.
¿Cómo ocurrió el ataque?
Según la información proporcionada por Taiko, el atacante logró explotar el puente fabricando pruebas entre cadenas, que tienen el propósito de confirmar que un retiro en el puente corresponde a una depósito genuino. Al presentar estas pruebas falsas, el hacker convenció a Ethereum de aceptar solicitudes de retiro de activos que no tenían depósitos coincidentes en el lado de Taiko, drenando fondos tanto del puente como de la bóveda de tokens.
El equipo de Taiko explicó que las solicitudes de retiro fraudulentas fueron aceptadas en Ethereum a pesar de no estar respaldadas por ningún depósito en la cadena Taiko, permitiendo al atacante registrar retiros ilegítimos.
Puentes como el de Taiko sirven como infraestructura crucial para permitir que los activos se muevan entre diferentes blockchains. En este caso, el puente facilitó la transferencia de fondos entre la red Taiko y Ethereum.
Mini glosario: Raiko es el sistema de generación de pruebas de Taiko en el lado de Ethereum, utilizado para validar transacciones. La clave de firma utilizada por Raiko debe almacenarse de forma segura en hardware protegido.
Se sospecha fuga de clave en hallazgos iniciales
Las evaluaciones iniciales sobre cómo el atacante generó pruebas aparentemente válidas levantaron preocupaciones sobre una posible fuga de clave. La investigación preliminar de la firma de seguridad BlockSec sugirió que la clave de firma para Raiko pudo haberse expuesto accidentalmente públicamente en GitHub.
BlockSec destacó que esta clave de firma debe mantenerse estrictamente dentro de hardware seguro. Si se expone, un atacante podría registrar sus propios generadores de pruebas como legítimos y luego usar pruebas falsificadas, firmadas con la clave filtrada, para desbloquear activos reales en Ethereum.
Puente y retiros detenidos
Taiko advirtió rápidamente a los usuarios sobre retirar sus fondos de todos los puentes de la red y aconsejó a los intercambios centralizados que suspendieran los depósitos de TAIKO. Durante la investigación, los productores de bloques fueron detenidos de generar nuevos bloques. El equipo anunció que a las 2:00 AM hora del este, el ataque estaba bajo control y todos los retiros a través del puente principal y la bóveda de tokens habían sido detenidos.
También se informó que el atacante transfirió 2 millones de tokens TAIKO —con un valor aproximado de 170,000 dólares— a una cuenta en el intercambio MEXC. Lanzado en Ethereum en mayo de 2024, Taiko tiene como objetivo reducir las tarifas de transacción y permitir el procesamiento fuera de la cadena antes de liquidar las transacciones de nuevo en la red principal de Ethereum.
Persisten vulnerabilidades más amplias este año
Aunque la pérdida monetaria en este incidente permaneció limitada, la técnica de ataque refleja una tendencia de vulnerabilidad más amplia en ataques a puentes observada este año. Datos recientes muestran que falsos mensajes entre cadenas facilitaron el robo de 292 millones de dólares del puente Kelp DAO en abril y 11.4 millones de dólares del puente Verus-Ethereum en mayo.
A lo largo de 2026, al menos 14 ataques a puentes separados han causado más de 340 millones de dólares en pérdidas totales. Taiko, sin embargo, enfatizó que la detección rápida y la congelación de transacciones limitaron el daño de escalar aún más. La compañía anunció que publicará un informe detallado del incidente el lunes, hora de Asia.
