TaikoがL2ネットワークを緊急停止、ブリッジ攻撃で約170万ドル流出
Ethereumのレイヤー2ネットワーク「Taiko」が6月22日、ブロック生成を一時停止した。攻撃者がネットワーク上のブリッジを悪用し、約170万ドル(約2億5000万円)相当の資産を不正に引き出したためだ。
チームは被害を早期に封じ込め、大規模な流出は回避した。しかし今回の脆弱性は、2026年に入ってから暗号資産業界で3億4000万ドル超の損失を引き起こしてきたクロスチェーンメッセージの偽造問題と同一の構造を持つ。被害額が小さいからといって見過ごせない事例だ。
記事ではまず事件の詳細を整理し、その後ブリッジ攻撃の仕組みを初心者にもわかるように解説する。さらに2026年に多発している同種の事件と比較し、今回の事例が持つ意味を掘り下げていく。
事件の経緯、攻撃者は偽造の証明書で資金を引き出す
事件が起きたのは6月22日の早朝(日本時間)。Taikoのチームは攻撃を検知すると即座にネットワークを停止し、全ユーザーに対してブリッジ経由での資金引き出しを呼びかけた。
流出が確認されたのは約170万ドル分。時価総額が1450万ドル程度のTAIKOトークンは、日本時間の午前0時から24時間で20%以上急落した。時価総額が小さいトークンにとって、こうしたセキュリティインシデントの打撃は特に大きい。
チームの推定によれば、攻撃者はブリッジが正当な取引を確認するために使う「証明書(proof)」を偽造した。本来であれば、Taiko側のチェーンで預け入れ(デポジット)が行われたという証拠がなければ、Ethereum側で引き出しは承認されない。しかし攻撃者は、実際には預け入れが行われていないにもかかわらず、それを装った偽の証明書を作成し、Ethereum上で資金を引き出すことに成功した。
事件から約2時間後、米東部時間の午前2時頃には、チームは「攻撃は封じ込められた」と発表。メインブリッジとトークン保管庫からの流出は停止された。ただし攻撃者はすでに約200万TAIKO(約17万ドル相当)をMEXC取引所のアカウントに移動させていたという。
なぜ偽造が可能だったのか、鍵は「署名鍵」の流出
攻撃者がなぜ偽の証明書を作成できたのか。その手がかりを握るのが、セキュリティ企業BlockSecの初期調査だ。
BlockSecによれば、原因はTaikoが証明書の生成に使う「Raiko(ライコ)」というシステムの署名鍵が、GitHub上で公開状態になっていたことにある。署名鍵とは、簡単に言えば「この取引は本物だ」とお墨付きを与えるためのデジタルな印鑑のようなものだ。
本来この鍵は、外部からアクセスできない専用のハードウェアの中に厳重に保管されていなければならない。これが漏れてしまうと、攻撃者は自分自身を「正当な証明者(prover)」としてネットワークに登録し、偽の取引証明書に好き放題に署名できるようになる。署名された偽の証明書は、Taikoの検証システムでも「正しいもの」として受け入れられてしまう。
つまり今回の事件は、複雑なコードの脆弱性というより、秘密鍵管理という基本中の基本が守られていなかったことに起因している可能性が高い。BlockSecは現時点で「GitHub上に公開されていた署名鍵が原因である可能性が高い」との見解を示しているが、Taikoは公式のインシデントレポートを準備中であり、詳細はそちらを待つ必要がある。
ブリッジ攻撃の仕組み、クロスチェーンメッセージとは何か
ここで、ブリッジとクロスチェーンメッセージの仕組みを整理しておく。専門用語に不慣れな読者も、このセクションで基本を押さえてほしい。
ブリッジの役割
ブリッジとは、異なるブロックチェーン間で資産を移動させるためのツールだ。たとえばEthereum上のETHをTaikoネットワークに移して使いたい場合、まずEthereum側のブリッジに資産を預け入れ、その預かり証としてTaiko側で同等の資産を受け取る。逆にTaikoからEthereumに戻すときは、Taiko側で資産を焼却(バーン)し、Ethereum側で元の資産が引き出せる仕組みになっている。
レイヤー2とは、Ethereumのようなメインチェーン(レイヤー1)の外で取引を処理し、最終的な決済だけをメインチェーンに戻す仕組みだ。処理が軽くなるため、手数料が安く速度も速いという利点がある。
クロスチェーンメッセージと証明書
ブリッジが「Taiko側でちゃんと預け入れがあったよ」とEthereum側に伝えるために使うのが、クロスチェーンメッセージだ。このメッセージの真正性を担保するのが「証明書」であり、それが本物かどうかを確認するのが「署名鍵」というわけだ。
鍵が漏れれば証明書を偽造でき、証明書を偽造できれば「預け入れていないのに預け入れたこと」にできる。そうなれば、実際には存在しない資産をEthereum側で引き出せてしまう。これが今回の攻撃の本質だ。
2026年に多発する同種の攻撃、ブリッジは最大の標的に
Taikoの被害額は約170万ドルと、過去の大型ハッキング事件と比較すれば小規模だ。しかし、この攻撃手法自体は2026年に何度も悪用されてきた「おなじみのパターン」である。
今年4月にはKelp DAOのブリッジが同じくクロスチェーンメッセージの偽造によって2億9200万ドルを流出させた。5月にはVerus-Ethereumブリッジも同様の手口で1140万ドルを失っている。2026年に入ってから少なくとも14件のブリッジ攻撃が発生し、被害総額は3億4000万ドルを超えている。
クロスチェーンブリッジは、暗号資産エコシステムの中で最も攻撃者に狙われやすい対象となっている。その理由は単純で、ブリッジには常に「移動中の資産」がロックされており、攻撃が成功すれば一度に大きな金額を奪えるからだ。
Taikoが大惨事を免れた理由
Taikoのケースが比較的軽症で済んだのは、チームの対応速度にある。攻撃の検知からネットワーク停止までの判断が早く、数時間以内に流出経路を遮断できた。Kelp DAOのケースでは被害が膨れ上がったが、これは発見と封じ込めに時間がかかったためでもある。
早期封じ込めの成否が、被害額を桁違いに変える。この教訓は、すべてのDeFiプロジェクトにとって重い意味を持つ。
業界全体への影響
2026年5月のデータによれば、暗号資産取引所全体の取引高は前月比3.45%減の4兆4100億ドルと、2024年9月以来の低水準を記録した。市場全体の取引が冷え込む中でも、RWA(現実資産)の無期限先物取引高は10.4%増加し、過去最高を更新している。
市場が冷え込む局面では、投資家のリスク許容度は低下する。頻発するブリッジ攻撃のニュースは、レイヤー2やクロスチェーン技術への信頼をさらに損なう可能性がある。技術的な革新性だけでは不十分で、セキュリティ面での信頼構築がより一層求められる局面だ。
TAIKOトークンへの影響と今後の展開
TAIKOトークンは事件直後から大きく売られ、20%以上の下落を記録した。時価総額1450万ドル程度の小規模トークンにとって、セキュリティインシデントは価格に直接的な打撃を与える。
チームは現在、中央集権型取引所に対してTAIKOトークンの入金停止を要請しており、攻撃者がMEXCに移動させた資金の凍結や回収が進められている可能性がある。ただし、すでに攻撃者の手を離れた資金の全額回収は難しいとの見方もある。
Taikoは2024年5月にEthereum上でローンチされた比較的新しいプロジェクトだ。今回の事件を受けて詳細なインシデントレポートを準備中であり、その内容次第ではコミュニティの信頼回復につながるか、あるいはさらなる不信を招くかの分かれ目となる。
この記事のポイント
- Taikoのレイヤー2ネットワークがブリッジ攻撃を受け、約170万ドルが流出した
- 攻撃の原因は署名鍵がGitHub上に公開されていたことにある可能性が高い
- クロスチェーンメッセージの偽造は2026年に入って3億4000万ドル超の被害を生んでいる
- 被害が最小限で済んだのはチームが数時間以内にネットワークを停止し封じ込めたからだ
- 秘密鍵の管理という基本を徹底できるかが、DeFiプロジェクトの存続を左右する
暗号資産とブロックチェーンの可能性を追求するエミリー。
暗号資産投資、DeFi、NFT、WEB3、メタバースといった最先端分野を深く理解し、「エミリーズ・クリプト・インサイダー」を運営。
分かりやすい解説で、ブロックチェーン革命の潮流を一般に広めることを目指す。初心者から上級者まで、最新情報を求めるすべての人に役立つ情報発信を心がけている。