Taiko, une solution de layer 2 pour Ethereum, a perdu environ 1,7 million de dollars lors d’une attaque ciblant le mécanisme de vérification de son bridge cross-chain. L’attaquant a exploité une faille dans la validation des preuves de messages pour drainer les fonds du contrat de bridge et de la réserve de tokens ERC-20. La production de blocs a été suspendue en urgence pour contenir l’incident.
Au programme
- 1,7 million de dollars volés via une faille de vérification du bridge (PANews, 2026)
- L’attaquant a immédiatement envoyé 1,99 million de tokens TKO sur MEXC pour les liquider
- La production de blocs est suspendue, les utilisateurs appelés à retirer leurs fonds des bridges
Comment l’attaquant a-t-il contourné la vérification du bridge ?
L’attaque ne visait pas les utilisateurs mais le cœur de l’infrastructure. L’exploit repose sur une faille dans le système de vérification des preuves de messages du bridge. Concrètement, l’attaquant a forgé une preuve de message qui a été acceptée par le contrat sur la couche 1 (Ethereum), alors qu’aucun événement légitime ne s’était produit sur la chaîne source.
Cette falsification a permis d’enregistrer des retraits frauduleux. Les fonds ont ensuite été extraits du contrat de bridge Taiko et de la réserve de tokens, pour un montant total d’environ 1,7 million de dollars, selon les estimations de l’équipe. Le mécanisme de vérification de l’état de la chaîne, un composant critique pour la sécurité des bridges blockchain, a été intégralement compromis.
L’incident rappelle l’attaque du bridge Horizon sur Harmony en 2022, où 100 millions de dollars s’étaient évaporés via une faille de validation. La récurrence de ce type d’exploit montre que la sécurisation de la messagerie inter-chaînes demeure un problème non résolu.
Que devient le butin et quel est l’impact sur le token TKO ?
Selon les données on-chain, l’attaquant a immédiatement consolidé les actifs volés avant de les répartir vers plusieurs portefeuilles. Une partie significative, 1,99 million de tokens TKO d’une valeur d’environ 189 000 dollars, a été transférée vers le hot wallet de l’exchange MEXC. Ce mouvement indique une volonté de liquidation rapide.
Le token TKO a chuté de 10 % dans la foulée de l’annonce, passant de 0,1279 $ à environ 0,07499 $. L’attaquant conserve toutefois l’essentiel du butin : son portefeuille contrôle encore 870,8 ETH (environ 1,52 million de dollars), une concentration qui le rend vulnérable au pistage sur la chaîne.
La valeur totale verrouillée (TVL) sur le protocole DeFi de Taiko a légèrement augmenté de 3,64 % pour atteindre 3,84 millions de dollars, tandis que la TVL bridgée est restée stable autour de 12,85 millions. Le volume de transactions hebdomadaire a quant à lui baissé de 3,37 %, à 324 630 opérations.
Comment Taiko a-t-il réagi pour contenir la brèche ?
La riposte a été rapide. Dès l’évaluation de l’incident, tous les proposeurs de blocs ont cessé la production, gelant de fait le réseau pour empêcher toute exploitation supplémentaire. Le bridge et la réserve de tokens ont été mis en pause.
Taiko a aussi identifié l’adresse publique du portefeuille de l’attaquant et exhorté les plateformes d’échange centralisées à bloquer les dépôts de tokens TKO. Les utilisateurs ont été invités à retirer leurs fonds des contrats de bridge pour limiter leur exposition résiduelle.
L’impact dépasse la simple interruption de service : en ciblant le mécanisme de vérification de l’état plutôt que les comportements des utilisateurs, l’attaque soulève des questions sur les hypothèses de sécurité fondamentales du protocole. C’est un type de compromission qu’on a pu observer lors du hack Nomad Bridge, où une faille de conception du contrat avait permis à une « horde » d’imitateurs de drainer 190 millions de dollars.
| # | Élément | Détail |
|---|---|---|
| 1 | Montant volé | ~1,7 M$ (ERC-20 Vault + Taiko Bridge) |
| 2 | Vecteur | Falsification de preuve de message bridge |
| 3 | Production de blocs | Suspendue |
| 4 | Statut du butin | 1,52 M$ en ETH toujours contrôlés par l’attaquant |
| 5 | Réaction TKO | Chute de 10 % |
Lecture CryptoActu L’affaire Taiko illustre la fragilité persistante des mécanismes de vérification cross-chain. Contrairement aux hacks par phishing qui exploitent la faiblesse humaine, une attaque de ce type invalide les fondations cryptographiques du protocole. La confiance dans un layer 2 dépend entièrement de l’intégrité du bridge qui le relie à Ethereum : une faille à ce niveau, et c’est l’ensemble de l’écosystème TVL qui devient un objectif à haut risque.
À retenir
Taiko a perdu 1,7 million de dollars dans une attaque ciblant le cœur de son mécanisme de vérification. La production de blocs est suspendue, le token TKO a chuté de 10 % et l’attaquant contrôle encore 870,8 ETH. La reprise dépendra de la transparence du post-mortem technique et de la solidité des correctifs déployés. Le réseau attend désormais la publication d’un audit complet pour envisager une reprise de l’activité.
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash