Un millón de dólares de la nada: el proyecto cripto Taiko fue vaciado por un error tonto de sus desarrolladores
Una señal falsificada engañó al sistema y el puente permitió el acceso a activos de terceros.
Los puentes de criptomonedas llevan años siendo el objetivo más jugoso para los ataques: es a través de ellos que los activos fluyen entre cadenas de bloques, y es allí donde es más fácil encontrar el eslabón débil. Una confirmación más fue la historia de la red Taiko —una capa sobre Ethereum que acelera y abarata las transacciones. El 22 de junio, el proyecto confirmó el ataque al mecanismo de verificación del estado de la blockchain, por el cual el atacante retiró alrededor de 1,7 millones de dólares de los puentes de la red.
Los puentes trasladan activos entre cadenas de bloques: los fondos se bloquean en una red y se emiten en otra mediante una prueba criptográfica de que la transferencia realmente se realizó. El atacante aprendió a falsificar tales pruebas. Las solicitudes de retiro falsas eran aceptadas en la red Ethereum, aunque no correspondían a depósitos reales en Taiko.
La causa fue un error grave. La clave privada con la que se firman las pruebas en el sistema Raiko (que confirma la autenticidad de los bloques de Taiko) resultó publicada en un repositorio público en GitHub. Esta clave debía almacenarse dentro del entorno de hardware seguro Intel SGX. Al obtenerla, el atacante registró su propio equipo como un nodo verificador de confianza y comenzó a firmar pruebas falsificadas que la red aceptó como auténticas.
El ataque se desarrolló en dos fases: primero, las pruebas falsificadas cambiaban las solicitudes de retiro al estado de «repetibles», luego esas retiradas se ejecutaban con verificaciones mínimas, vaciando el puente y el depósito de tokens ERC20Vault. La mayor parte de lo robado fueron USDC y ETH. Además, el atacante logró enviar alrededor de 2 millones de tokens TAIKO (aproximadamente 170 000 dólares) al exchange MEXC; sin embargo, se logró congelar una parte de los fondos.
El equipo de Taiko detuvo la producción de bloques, suspendió el funcionamiento del puente y del depósito y pidió a los usuarios que retiraran fondos de todos los puentes de la red. Los exchanges solicitaron suspender temporalmente la recepción de depósitos de TAIKO: Upbit, Bithumb y KuCoin lo hicieron en el transcurso de varias horas. Al anochecer se localizó el ataque, las operaciones pendientes se pusieron en pausa y no se perdieron. El precio de TAIKO cayó entre un 10 y un 20 % y descendió hasta mínimos cercanos a 0,07 dólares.
El caso mostró cuán vulnerables son los puentes: en 2026 registraron más de 340 millones de dólares en pérdidas en 14 ataques. Para reducir el riesgo, se aconseja a los proyectos almacenar estrictamente las claves secretas: excluirlas de repositorios públicos mediante reglas .gitignore y emplear herramientas de búsqueda automática de fugas. A los usuarios se les recomienda no transferir activos a través de los puentes de Taiko hasta que haya un aviso oficial de recuperación. El equipo prometió publicar un análisis completo del incidente más adelante.