Taiko ERC20 Vault 在以太坊上遭駭,損失超過 100 萬美元

2026年6月22日

Taiko ERC20 Vault 在以太坊上遭駭,損失超過 100 萬美元

事件總覽(2026 年 6 月 22 日)

一份於 2026 年 6 月 22 日發布的安全警報顯示,Taiko 在以太坊上的 ERC20 Vault 遭到駭客攻擊,估計損失超過 100 萬美元。受影響的組件與 Taiko 的跨鏈資產流動有關——即代幣在以太坊上進行託管,並根據驗證過的跨鏈訊息進行釋放。

儘管調查仍在進行中,但早期的技術敘事集中在跨鏈訊息驗證上:據稱駭客設法讓偽造的訊息證明在以太坊上被接受,從而導致 Vault 中的資產被未經授權地釋放。對於希望了解 Taiko 橋接架構背景(包括 ERC20 Vault 和基於訊號的驗證概念)的讀者,Taiko 的公開材料和審計報告提供了有用的資訊,例如 OpenZeppelin Taiko 協定審計Code4rena Taiko 安全審查

跨鏈橋接中的「ERC20 Vault」是什麼?

在大多數標準橋接中,ERC20 Vault 在來源鏈上充當鏈上託管:

  • 用戶將 ERC-20 代幣存入以太坊上的 Vault 合約。
  • 橋接將一則訊息中繼到目標鏈(Taiko L2),用戶在那裡收到相應的代表代幣。
  • 當資產移回時,訊息(加上證明)用於授權以太坊上的釋放。

這種設計集中了風險:Vault 可能積累大量的 TVL(總鎖定價值),其安全性在很大程度上取決於訊息驗證路徑(而不僅僅是代幣轉移邏輯)。Taiko 的橋接堆疊和合約可以在 Etherscan 等瀏覽器上公開查看,例如 Etherscan 的 Taiko Bridge 合約頁面

初步根本原因:證明驗證接受了不存在的來源事件

初步分析指向橋接的來源訊號證明驗證邏輯中存在缺陷。

概念上,一個安全的橋接需要確保:

  1. 一則訊息確實已在來源鏈上發佈(例如,合法的「MessageSent」事件或同等的狀態承諾)。
  2. 在以太坊上提供的證明在密碼學上綁定到該確切的來源事件/狀態。
  3. 該訊息尚未被處理(防止重播),且參數與預期值相符。

在此次事件中,報告的故障模式尤其危險:以太坊接受了一個精心製作的證明,即使它與 Taiko 上發佈的合法訊息不符。這將允許駭客「註冊」並執行來源鏈從未授權的訊息——實際上將橋接變成了一個自助提款機制。

對於開發者來說,值得重新審視 Taiko 風格的訊號/訊息證明通常是如何工作的(針對同步根的儲存證明等)。一個有用的高層參考是 Ethereum Research 的討論,該討論使用 Taiko 作為訊息證明流程的案例研究:Ethereum Research:SCOPE(Taiko 案例研究)

為何這在 2026 年很重要:橋接驗證失敗是常態

到 2025-2026 年,該行業最大的橋接失敗案例已日益從「明顯的錯誤」轉變為驗證假設在邊緣被打破——例如驗證者被攻破、檢查不完整或證明綁定錯誤。

2026 年的一個顯著案例是,CoinDesk 關於 Kelp DAO 遭駭的報導 背後的跨鏈訊息傳輸失敗,訊息驗證方面的弱點導致了大規模的未授權釋放。Taiko ERC20 Vault 事件似乎屬於同一風險類別:橋接的安全性只與其訊息驗證不變性一樣強大

用戶現在該做什麼(實用檢查清單)

如果您最近與 Taiko 橋接或相關合約互動過,請考慮採取以下防範措施:

  1. 在有明確資訊發布之前,避免進行橋接

    • 暫停涉及受影響橋接路徑的新存款/提款,特別是如果官方指南建議這樣做。

  2. 通過區塊鏈瀏覽器驗證合約和交易

    • 使用 Etherscan 確認您正在與正確的橋接/Vault 地址互動,並監控出站轉賬。

  3. 重新評估代幣授權

    • 即使在駭客攻擊是基於 Vault(而非授權)的情況下,減少授權量也是良好的習慣——尤其是在有詐騙者部署類似網站的活躍事件窗口期間。
    • 您可以使用 Revoke.cash 查看和撤銷授權。

  4. 跨錢包分散風險

    • 為日常的 dApp 活動保留一個「熱錢包」,並為長期持有資產保留一個獨立的「冷錢包」。這可以限制如果橋接 UI、RPC 路線或簽名流程被破壞時的影響範圍。

對協議團隊的啟示:驗證不變性必須「不容協商」

對於開發跨鏈基礎設施的構建者來說,這次事件加強了幾個硬性要求:

  • 證明與事件必須嚴格綁定:目標鏈必須僅接受能夠與確切來源鏈承諾聯繫起來的證明。
  • 對不確定證明進行「關閉處理」:如果系統無法確鑿地將訊息與承諾的來源狀態聯繫起來,它應該拒絕,而不是「盡力接受」。
  • 獨立監控和快速熔斷機制:實時警報和自動響應(暫停、配額、訊息隔離)可以在假設失效時減少遏制時間。

Taiko 公開發布的審計和審查(例如 OpenZeppelin 審計)提醒我們,審計是有幫助的——但橋接在部署後仍需要持續的敵對思維、遙測和操作性護欄。

在事件中降低簽名風險:硬體錢包的作用

即使根本原因是智慧合約被駭,用戶的損失通常也會因為網路釣魚虛假的「恢復」dApp惡意授權提示而加劇,這些通常在頭條新聞出現後立即出現。

OneKey 這樣的硬體錢包可以通過將私鑰離線來提供幫助,並使惡意軟體或惡意網站更難靜默地竊取簽名權限。在快速發展的安全事件中——特別是涉及橋接的事件——將謹慎的授權管理與冷儲存紀律結合起來,是減少個人風險暴露的最可靠方法之一。

隨著 Taiko ERC20 Vault 調查的繼續,更廣泛的啟示仍然是一致的:跨鏈橋接的安全性本質上是一個驗證問題,協議和用戶都需要將訊息驗證界面視為高風險基礎設施。

使用 OneKey 保護您的加密之旅

View details for 選購 OneKey選購 OneKey

選購 OneKey

全球最先進嘅硬件錢包。

View details for 下載應用程式下載應用程式

下載應用程式

詐騙預警。支援所有幣種。

View details for OneKey SifuOneKey Sifu

OneKey Sifu

即刻諮詢,掃除疑慮。