Taikoがブリッジエクスプロイト後にEthereum Layer 2を停止: 何が起こったのか、そして資金を保護する方法
— By Tony Rabbit in News

2026年6月22日、Ethereum Layer 2のTaikoはブリッジエクスプロイトを確認し、ブロック生成を停止し、ユーザーに対しネットワーク上のすべてのブリッジから資金を引き出すよう促した後、事件は収束したと発表しました。セキュリティ企業は、偽造された証明書による損失を約170万ドルと見積もっています。ここでは、何が起こったのか、攻撃がどのように機能したのか、そしてブリッジが警告を発した際にオンチェーンユーザーが何をすべきかについて説明します。
2026年6月22日、Ethereum Layer 2ネットワークであるTaikoは、そのクロスチェーンブリッジにおけるセキュリティ侵害を確認し、ブロック生成を停止し、ネットワーク上のすべてのブリッジから資金を引き出すようユーザーに伝える緊急通知を発行しました。Taikoの公式アカウントによると、そのすべてのブリッジを支えるセキュリティ仮定はもはや信頼できなくなり、チームは調査中に中央集権型取引所に対しTAIKOの預け入れを一時停止するよう要請しました。数時間後、Taikoは事件が収束したとの更新を投稿し、ブリッジとトークン保管庫は一時停止され、以前の引き出しに関する助言はもはや有効ではないと述べました。
関与した金額は、主要な暗号ハッキングの基準からすれば控えめでしたが、攻撃の仕組みは、今年で最も技術的に注目すべきブリッジ事件の一つとなっています。ここでは、明確で情報源に基づいた内訳を説明します。
Taikoとは何か、そしてブリッジエクスプロイトがなぜ重要なのか
Taikoは、分散型のEthereum同等(Type-1)zkEVMロールアップであり、単一の中央集権型シーケンサーを実行する代わりに、トランザクションのシーケンスをEthereum Layer 1バリデーターに委任するため、「based rollup」とよく表現されます。EthereumとTaiko間で資産を移動するために、ネットワークは、あるチェーンでの引き出しが別のチェーンでの実際のメッセージまたは預け入れと一致することを暗号学的に証明するネイティブブリッジを使用します。簡単に言えば、Ethereumでの引き出しは、Taikoでの正当なトランザクションに対応する場合にのみ有効であるべきです。このプロジェクトに初めて触れる方は、Taikoとは何か、そしてそのType-1 zkEVMがどのように機能するかに関する私たちのガイドで基本を学ぶことができます。
その証明チェックが、ブリッジのセキュリティモデル全体です。これを破れば、実際には発生しなかった引き出しに対して、ブリッジに実際の資金を放出させることができます。攻撃者はまさにそれを行ったようです。
攻撃の仕組み
DecryptとCoinDeskによって報告されたセキュリティ企業BlockSecの調査結果によると、攻撃者はTaikoの検証コントラクトが本物として受け入れた不正な証明書を生成し、その後、ネットワークのERC20トークン保管庫から資産を放出する偽のブリッジメッセージのシグナルを偽造しました。BlockSecの予備調査では、その原因は、Intel SGXセキュアエンクレーブに紐付けられたRaikoプロバー署名キーがGitHubで公開されたままになっていたことにある可能性が高いとされています。本稿執筆時点では、Taikoは根本原因を確認する完全な事後分析を公開していないため、これはセキュリティ企業の調査結果であり、公式に確認された説明ではありません。
この詳細は重要です。なぜなら、Taikoのプロバーシステムはセキュアハードウェアに信頼を置くことになっているからです。プロバーは登録して保証金を預け、SGX署名キーはエンクレーブ内に封印されたままであるべきであり、正当な証明のみが受け入れられるようになっています。もしそのキーが公開された場合、攻撃者は不正なプロバーインスタンスを登録し、ネットワークが有効とみなす証明書に署名することができます。これは古典的なスマートコントラクトのバグというよりも、キー管理と信頼モデルの失敗であり、2026年の主要なブリッジ事件のいくつかを特徴づけるパターンです。
損失額
セキュリティ企業BlockSecとPeckShieldは、損失額を約170万ドルと独自に見積もっており、主にUSDCとETHでした。Taiko自体は損失額を公表していません。CoinDeskが引用したオンチェーントラッカーも、攻撃者が約200万TAIKO(約17万ドル相当)をMEXC取引所に向けて移動させたことを指摘しました。このニュースが日中の動きの中で広がるにつれて、TAIKOトークンはその日に大幅に下落し、スナップショットの時間によって約10パーセントから20パーセント以上の下落が報告されました。
参考までに、CoinGeckoによると、2026年6月22日時点でのTAIKOの時価総額約1400万ドルと比較すると、推定170万ドルの損失は小さいです。ここでの損害は、盗難の規模だけでなく、ブリッジの信頼モデルに対する信頼の問題でもあります。
収束したが、業界への警告
Taikoは、セキュリティ評議会を活性化し、影響を受けたブリッジとトークン保管庫を一時停止し、それらを通じた引き出しを停止したと述べました。これが、事件が収束した後に当初の引き出しに関するガイダンスが適用されなくなった理由です。チームはまた、プロバーの登録と検証に関する管理を強化すると述べました。
この事件は、ブリッジが再び暗号資産分野で最も悪用される対象となった年に発生しました。業界紙が引用した業界の集計によると、2026年のブリッジハックによる損失は数億ドルに上り、4月に発生した約2億9200万ドルのKelpDAO事件がその筆頭であり、これは2026年の最大のDeFiハックのまとめで取り上げました。これらの事件に共通するテーマは、弱点がオンチェーンのコントラクト自体ではなく、オフチェーンのインフラストラクチャとキー管理にますます集中していることです。
ブリッジまたはL2が警告を発した場合の対処法
このような事件は、自己管理がインシデント対応を含むことを思い出させます。使用しているネットワークが引き出しを促す場合、迅速かつ慎重に行動してください。引き出しがまだ可能な場合は、資金をEthereum Layer 1または影響を受けていないチェーンに戻してください。同様に重要なのは、影響を受けたブリッジまたはアプリに付与したトークンの承認を取り消すことです。ウォレットをサイトから切断することは、オンチェーンの承認を取り消すこととは異なり、承認はキャンセルするまで持続します。トークン承認チェッカーを使用すると、既存の許可を確認し、取り消すことができます。
事件後にいずれかのトークンに戻る前に、操作する対象を再確認する価値があります。DEXToolsのToken Safety Checkerを通じてコントラクトをチェックし、ハニーポット、ミント、所有権のフラグを確認できます。定期的にブリッジを利用する場合は、暗号ブリッジのコストとリスクに関する私たちのガイドで注意すべき点を確認してください。攻撃者はエクスプロイトの後に偽の回復リンクや返金リンクを提示することが多いため、常にプロジェクトの検証済み公式チャネルを通じて指示を確認してください。この記事は情報提供のみを目的としており、金融アドバイスではありません。