Taiko ERC20 Vault auf Ethereum ausgenutzt, Verluste übersteigen 1 Million US-Dollar

22. Juni 2026

Taiko ERC20 Vault auf Ethereum ausgenutzt, Verluste übersteigen 1 Million US-Dollar

Überblick über den Vorfall (22. Juni 2026)

Eine am 22. Juni 2026 veröffentlichte Sicherheitswarnung zeigt, dass Taiko's ERC20 Vault auf Ethereum ausgenutzt wurde, wobei die Verluste auf über 1 Million US-Dollar geschätzt werden. Die betroffene Komponente hängt vom Cross-Chain-Asset-Fluss von Taiko ab – bei dem Token auf Ethereum treuhänderisch hinterlegt und anhand validierter Cross-Chain-Nachrichten freigegeben werden.

Obwohl die Ermittlungen noch laufen, konzentriert sich die frühe technische Darstellung auf die Verifizierung von Cross-Chain-Nachrichten: Der Angreifer hat angeblich gefälschte Nachrichten-Beweise auf Ethereum akzeptieren lassen, was zu nicht autorisierten Freigaben von Vermögenswerten aus dem Vault führte. Für Leser, die Hintergrundinformationen zur Brückenarchitektur von Taiko (einschließlich des ERC20 Vault und des konzeptbasierten Nachrichtenaustauschs) suchen, bieten die öffentlichen Materialien und Audits von Taiko nützliche Kontexte, wie z. B. die OpenZeppelin Taiko Protokollprüfung und die Code4rena Taiko Sicherheitsüberprüfung.

Was ist ein "ERC20 Vault" in einer Cross-Chain-Brücke?

In den meisten kanonischen Brücken fungiert ein ERC20 Vault als Treuhänder vor Ort auf der Quellkette:

  • Benutzer hinterlegen ERC-20-Token in einem Vault-Vertrag auf Ethereum.
  • Die Brücke leitet eine Nachricht an die Zielkette (Taiko L2) weiter, wo der Benutzer die entsprechende Repräsentation erhält.
  • Beim Rücktransport von Vermögenswerten wird eine Nachricht (plus Beweis) verwendet, um die Freigabe auf Ethereum zu genehmigen.

Dieses Design konzentriert das Risiko: Der Vault kann einen beträchtlichen TVL ansammeln, und seine Sicherheit hängt stark vom Pfad zur Nachrichtengültigkeit ab (nicht nur von der Token-Transferlogik). Der Bridging-Stack und die Verträge von Taiko sind auf Exploorern wie Etherscan's Taiko Bridge-Vertragsseite öffentlich einsehbar.

Vorläufige Grundursache: Beweisprüfung akzeptiert nicht existierende Quellereignisse

Die erste Analyse deutet auf einen Fehler in der Logik zur Überprüfung von Quellsignalen/Nachrichten der Brücke hin.

Konzeptionell muss eine sichere Brücke sicherstellen:

  1. Eine Nachricht wurde tatsächlich auf der Quellkette gesendet (z. B. ein legitimes "MessageSent"-Ereignis oder eine entsprechende Zustandsabsicherung).
  2. Der auf Ethereum vorgelegte Beweis ist kryptografisch an dieses exakte Quellereignis/-zustand gebunden.
  3. Die Nachricht wurde noch nicht verarbeitet (Schutz vor Replay), und die Parameter stimmen mit den erwarteten Werten überein.

Bei diesem Vorfall ist die gemeldete Fehlermöglichkeit besonders gefährlich: Ethereum akzeptierte einen präparierten Beweis, obwohl dieser keiner legitimen auf Taiko gesendeten Nachricht entsprach. Das würde es einem Angreifer ermöglichen, eine Nachricht zu "registrieren" und auszuführen, die die Quellkette nie autorisiert hat – wodurch die Brücke effektiv zu einem Self-Service-Abhebungsmechanismus wird.

Für Entwickler lohnt sich eine Überprüfung, wie Taiko-artige Signal-/Nachrichten-Beweise generell funktionieren sollen (Speicherbeweise gegen synchronisierte Roots usw.). Eine nützliche allgemeine Referenz ist die Diskussion in Ethereum Research, die Taiko als Fallstudie für Nachrichten-Beweisflüsse verwendet: Ethereum Research: SCOPE (Taiko Fallstudie).

Warum das im Jahr 2026 wichtig ist: Brückenprüfungsfehler sind das Muster

Bis 2025–2026 haben sich die größten Brückenfehler der Branche zunehmend von "offensichtlichen Fehlern" zu Zusammenbrüchen von Verifizierungsannahmen am Rande verschoben – Kompromittierung von Validatoren, unvollständige Prüfungen oder falsche Beweisbindung.

Ein prominentes Beispiel aus dem Jahr 2026 war das Cross-Chain-Nachrichtenversagen hinter dem CoinDesk-Bericht über den Kelp DAO-Exploit, bei dem Schwachstellen bei der Nachrichtenverifizierung massive nicht autorisierte Freigaben ermöglichten. Der Taiko ERC20 Vault-Vorfall scheint in dieselbe Risikokategorie zu fallen: Die Sicherheit von Brücken ist nur so stark wie die Invarianten der Nachrichtenverifizierung.

Was Benutzer jetzt tun sollten (Praktische Checkliste)

Wenn Sie kürzlich mit Taiko Bridging oder verwandten Verträgen interagiert haben, sollten Sie die folgenden Abwehrmaßnahmen in Betracht ziehen:

  1. Kein Bridging, bis Klarheit herrscht

    • Setzen Sie neue Ein- und Auszahlungen, die betroffene Brückenpfade betreffen, vorübergehend aus, insbesondere wenn offizielle Leitlinien dies empfehlen.

  2. Überprüfen Sie Verträge und Transaktionen über einen Block-Explorer

    • Verwenden Sie Etherscan, um zu bestätigen, dass Sie mit den richtigen Brücken-/Vault-Adressen interagieren, und überwachen Sie ausgehende Überweisungen.

  3. Token-Genehmigungen neu bewerten

    • Auch wenn ein Exploit auf dem Vault basiert (nicht auf Genehmigungen), ist die Reduzierung von Zulagen gute Praxis – insbesondere während aktiver Vorfallsfenster, in denen Betrüger gefälschte Websites einsetzen.
    • Sie können Genehmigungen mit Revoke.cash überprüfen und widerrufen.

  4. Risiken über Wallets verteilen

    • Verwenden Sie ein "Hot"-Wallet für tägliche dApp-Aktivitäten und ein separates "Cold"-Wallet für längerfristige Bestände. Dies begrenzt den Schaden, falls eine Brücken-UI, eine RPC-Route oder ein Signierfluss kompromittiert wird.

Lektionen für Protokollteams: Verifizierungs-Invarianten müssen "nicht verhandelbar" sein

Für Entwickler, die Cross-Chain-Infrastruktur aufbauen, verstärkt dieses Ereignis einige strenge Anforderungen:

  • Beweis-zu-Ereignis-Bindung muss streng sein: Die Zielkette darf nur Beweise akzeptieren, die an exakte Quellketten-Zusicherungen gebunden werden können.
  • Bei mehrdeutigen Beweisen auf "Fail Closed" setzen: Wenn das System eine Nachricht nicht eindeutig mit einem zugesicherten Quellstatus verknüpfen kann, sollte es diese ablehnen – nicht im "Best-Effort"-Verfahren akzeptieren.
  • Unabhängige Überwachung und schnelle Notbremsen: Echtzeit-Alarmierung und automatisierte Reaktionen (Pausen, Quoten, Quarantäne von Nachrichten) reduzieren die Eindämmungszeit, wenn Annahmen zusammenbrechen.

Die veröffentlichten Audits und Überprüfungen von Taiko (z. B. der OpenZeppelin-Audit) erinnern daran, dass Audits hilfreich sind – Brücken benötigen jedoch nach der Bereitstellung weiterhin kontinuierliches gegnerisches Denken, Telemetrie und operative Schutzmaßnahmen.

Reduzierung des Signierungsrisikos während Vorfällen: Wo eine Hardware-Wallet hilft

Selbst wenn die Grundursache ein Smart Contract Exploit ist, verstärken sich die Benutzerausfälle oft durch Phishing, gefälschte "Wiederherstellungs"-dApps und böswillige Genehmigungsaufforderungen, die unmittelbar nach dem Bekanntwerden der Schlagzeilen erscheinen.

Eine Hardware-Wallet wie OneKey kann helfen, indem sie private Schlüssel offline hält und es Malware oder bösartigen Websites erschwert, die Signaturbefugnis unbemerkt zu exfiltrieren. Während sich schnell entwickelnder Sicherheitsvorfälle – insbesondere solcher, die Brücken betreffen – ist die Kombination aus vorsichtigem Genehmigungsmanagement und Disziplin bei der Cold Storage eine der zuverlässigsten Methoden, um das persönliche Risiko zu reduzieren.

Während die Untersuchung des Taiko ERC20 Vault fortgesetzt wird, bleibt die allgemeinere Erkenntnis konstant: Die Sicherheit von Cross-Chain-Brücken ist im Grunde ein Verifizierungsproblem, und sowohl Protokolle als auch Benutzer müssen Nachrichtengültigkeitsflächen als Hochrisiko-Infrastruktur behandeln.

Schützen Sie Ihre Kryptojourney mit OneKey

View details for OneKeyOneKey

OneKey

Die fortschrittlichste Hardware-Wallet der Welt.

View details for App herunterladenApp herunterladen

App herunterladen

Betrugsalarme. Alle Coins unterstützt.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Krypto-Klarheit – Eine Anruf entfernt.