Une faille de vérification au coeur de l'attaque
Taiko, rollup construit sur Ethereum, a été victime d'une attaque ciblant directement son bridge. La mécanique est chirurgicale : l'attaquant a exploité une faille dans le système de vérification des preuves de messages. En clair, des preuves ont été acceptées côté Ethereum sans qu'aucune transaction réelle n'existe sur la chaîne source. Résultat : l'attaquant a pu enregistrer de faux retraits et vider à la fois le bridge et le coffre de tokens du protocole.
Ce type de vulnérabilité, propre aux mécanismes de passage de messages cross-chain, rappelle que la sécurité d'un rollup ne se limite pas à la couche d'exécution. Le maillon faible, ici, se situe dans la logique de validation des preuves, un composant critique que les audits peinent parfois à couvrir exhaustivement.
Confinement tardif, dégâts déjà actés
L'équipe Taiko a réagi en demandant à tous ses utilisateurs de retirer leurs fonds de l'ensemble des bridges du protocole. Les plateformes d'échange ont été contactées pour suspendre les dépôts de TAIKO, et tous les producteurs de blocs ont cessé de valider de nouvelles transactions, gelant de fait l'activité du réseau.
L'attaque a depuis été contenue. Mais le mal était fait. Le pillage total atteint 1,7 million de dollars. D'après PeckShield, le pirate a transféré 1,99 million de tokens TAIKO, soit environ 169 700 dollars, vers la plateforme MEXC. La rapidité du transfert vers un exchange centralisé soulève une question sur la capacité de MEXC à geler ces fonds à temps.
Les bridges restent, en 2026, l'un des vecteurs d'attaque les plus rentables de l'espace on-chain. Ce nouvel incident le confirme, une fois de plus, sans ambiguïté.
