2026年6月22日、Layer 2ソリューションTaikoの開発チームが、ブロックチェーンの状態検証メカニズムの侵害を報告した。
開発者はネットワーク上のブリッジのセキュリティは信頼できないとし、ユーザーにTaiko上の全ブリッジプロトコルからの資金引き出しを推奨している。プロジェクトはSecurity Councilおよびエコシステムのパートナーと連携してインシデント封じ込めを進め、中央集権型取引所にTAIKOの入金停止を要請した。Lookonchainは被害額を約170万ドルと推定し、ハッカーはネイティブのTAIKOトークンと各種のラップドETHを盗んだとしている。
攻撃後、TAIKOトークンは1日で11%下落し、0.09ドルから0.07ドルとなった。これに先立つ6月19日には、Secret Network側のAxelar関連ブリッジ資産で「infinite mint」脆弱性が悪用され、約467万ドル相当が引き出されたことが公表されていた。
From: 
Hacker Breaches Taiko L2 Network
【編集部解説】
まず押さえておきたいのは、今回の事件が「スマートコントラクトのバグ」とは少し毛色が違う、という点です。BlockSec(Phalcon)をはじめとする複数の初期分析では、Taikoの証明システム「Raiko」で使われていたIntel SGX用の署名鍵が、公開GitHubリポジトリ上で露出していたことが、有力な原因として指摘されています。これらの分析によれば、攻撃者は流出したとされる鍵を使って偽のSGX証明者を登録し、L2の状態に関する偽の証明を生成して、Ethereumメインネット上のブリッジとERC20Vaultから資金を引き出したとされます。ただしTaiko自身による正式な事後検証報告はまだ公表されておらず、原因は現時点で確定したものではない点には留意が必要です。
ここが今回の肝です。SGXとは、CPUの中に「外から覗けない金庫」を作り、その中での計算が正しく行われたことをハードウェアが保証する仕組みです。Taikoはこの「ハードウェアのお墨付き」を信頼の土台にしていました。ところが、初期分析が正しければ、その金庫の正規の持ち主であることを示す鍵が外部に漏れていたことになります。TaikoのL1コントラクトは、登録済みのMrSigner値(署名鍵から導かれる識別子)に合致する署名を正規とみなす設計とされ、流出した鍵で署名された悪意あるエンクレーブも、正規のものとして受け入れられてしまったという見立てです。
つまり、もしこの分析どおりなら、破られたのは暗号でも数学でもなく、運用ということになります。BlockSecのPhalconチームの分析を要約すれば、検証器が露出した資格情報を正規のものとして扱い、仕様どおりに偽の証明を受け入れてしまった、という構図です。技術そのものは正しく機能していた——だからこそ、業界に与えた心理的な打撃は被害額以上に大きいといえます。
被害規模の数字には幅があります。初動でBlockaidが少なくとも100万ドル超と報告し、その後LookonchainおよびPeckShieldが最大で約170万ドルと見積もりました。ForkLogが採用した170万ドルは、主要な報道で広く使われている速報値という位置づけです。前述のとおりTaikoは正式なポストモーテム(事後検証報告)をまだ公表しておらず、この数字は確定額ではなく報道ベースの推計にとどまります。
見落とされがちですが、重要な事実があります。一般ユーザーのセルフカストディウォレットや取引所残高から直接TAIKOが抜き取られたわけではなく、主な被害はブリッジ契約・ERC20Vaultにロックされていた資産だとされます。自分の財布から直接抜かれたのではない、という区別は冷静に伝える価値があります。
それでもTaikoの対応は迅速でした。プロポーザーがブロック生成を一時停止し、影響を受けるブリッジ関連システムをあわせて止めることで、さらなる悪用を物理的に封じました。韓国のUpbitやBithumbは入出金を、KuCoinはEthereum経由のTAIKO入金を、それぞれ予防的に止めています。被害を最小化する初動としては、教科書的な動きだったといえるでしょう。
影響範囲を一段引いて見ると、これは単発の事故ではありません。2026年はブリッジ関連の被害が相次いでおり、判明しているだけでも少なくとも数億ドル規模に達しています。4月のKelpDAO(約2億9200万ドル、Lazarus Groupの関与が指摘されています)を筆頭に、Gravity Bridge(約540万ドル)やHyperbridgeでも被害が報じられるなど、ブリッジ関連の事故が続きました。Alephiumについては速報値で約81万5000ドルと報じられた一方、Alephium公式のオンチェーン報告は、実際に逃れた担保を約30万5000ドル相当と整理しています。ブリッジは異なるチェーンの「信頼の境界線」をまたぐ装置であり、構造的にもっとも狙われやすい弱点であり続けています。
長期的な視点では、今回の事件は「ゼロ知識証明やSGXといった高度な暗号技術を使えば安全」という素朴な前提に、現実的な留保を突きつけました。どれほど精緻な検証システムを組んでも、鍵の管理という地味な運用が一カ所崩れれば、信頼の連鎖は根元から外れます。規制当局がブリッジやL2の鍵管理・秘密情報の取り扱いに目を向ける契機になる可能性もあります。
Tech for Human Evolutionの視点で捉えるなら、ここにあるのは技術の敗北ではなく、技術を運用する人間側の成熟という宿題です。Taikoが透明性の高い事後検証と再発防止策をどう示すか——その姿勢こそが、分散型インフラ全体の信頼を次の段階へ進められるかどうかの試金石になるはずです。
【用語解説】
状態検証メカニズム(chain state verification mechanism)
L2上で起きた取引が「本当に正しく実行されたか」を、L1(Ethereum本体)側で検証するための仕組み。ここが破られると、実際には存在しない取引や引き出しを「正しい」と誤認させられてしまう。今回の事件の中心となった部分である。
ブリッジ(bridge)
異なるブロックチェーン間で資産やメッセージを移動させる橋渡し装置。複数チェーンの「信頼の境界」をまたぐ性質上、構造的に攻撃の的になりやすく、長年にわたり業界最大級の弱点とされてきた。
ERC20Vault(ERC-20 Vault)
ブリッジを通じてロックされたERC-20トークンを保管しておくEthereum上の金庫的なコントラクト。今回はここから資産が引き出されたとされる。
ラップドETH(wrapped ETH)
ETHを別の規格のトークンとして「包んだ」もの。異なるチェーンやプロトコル上でETH相当の価値を扱えるようにするために用いられる。
Intel SGX / TEE(Trusted Execution Environment)
CPU内部に外部から覗けない隔離領域を作り、その中での計算が改ざんされていないことをハードウェアが保証する技術。SGXはIntelによる実装の一つ。Taikoはこれを証明の信頼基盤の一部に用いていた。
based rollup(ベースド・ロールアップ)
中央集権的なシーケンサー(取引の順番を決める主体)を置かず、Ethereum本体のバリデーターに順序付けを委ねるL2設計。Taikoは「世界初のbased rollup」を掲げている。
infinite mint(無限発行)
トークンを際限なく発行できてしまう脆弱性。関連事例のSecret Network側ブリッジで悪用された。
【参考リンク】
Taiko 公式サイト(外部)
世界初のbased rollupをうたうEthereum L2の公式サイト。ミッションや技術概要を掲載している。
Taiko Foundation(GitHub)(外部)
Taikoの公式リポジトリ群。鍵流出元とされる「raiko」や復旧作業中の「taiko-mono」が公開されている。
Lookonchain(外部)
オンチェーンの資金移動を追跡する調査アカウント。今回の被害額約170万ドルの推定元の一つ。
Blockaid(外部)
Web3向けのセキュリティ・脅威検知企業。今回の攻撃を初期段階でリアルタイム検知したと報じられている。
PeckShield(外部)
ブロックチェーンのセキュリティ監査・分析企業。今回の被害額を最大約170万ドルと見積もった。
TradingView(外部)
暗号資産のチャート分析基盤。ForkLog記事掲載のTAIKO/USDTチャートの出典である。
Axelar(外部)
クロスチェーン相互運用プロトコル。6月19日のSecret Network側ブリッジ侵害に関連した事例の当事者。
【参考動画】
【参考記事】
$1.7M Gone: Taiko Bridge Exploited After SGX Signing Key Leak(外部)
SGX署名鍵がGitHubに残されていた根本原因とMrSignerによるなりすましの仕組みを詳説した記事。
Taiko Halts Blocks After $1.7M Exploit, Urges Users to Exit Bridges(外部)
Blockaidの分析と、停止対象がブロック生成や影響システムである点を報じた記事。
Taiko Urges Bridge Exit After Hackers Drain $1.7M(外部)
取引所の入出金停止や2026年の主要ブリッジ被害一覧を整理した記事。
Secret Network bridge exploited for $4.7M with ‘infinite mint’ bug(外部)
侵害がSecret側にあり、Axelar本体は影響なしと説明された点の根拠とした記事。
Inside the KelpDAO Bridge Exploit(外部)
KelpDAOの約2.92億ドル被害とLazarus Group関連の帰属分析を整理した記事。
The Alephium Bridge Exploit: On-Chain Report(外部)
速報値と実損額の差を整理したAlephium公式報告。被害額表現の訂正根拠とした記事。
【関連記事】
Taikoがイーサリアム強化へ1500万ドル調達、ZKロールアップで注目
今回侵害を受けたTaiko本体の資金調達ニュース。based rollupの背景理解に役立つ。
アップビット、ソラナ系ウォレット脆弱性で約445億ウォン流出 ユーザー資産は全額補償
鍵管理の失敗と取引所の入出金停止という、今回と共通する構造を扱った記事。
DeFiプラットフォームLI.FIが800万ドルのエクスプロイト被害に遭遇
ブリッジの構造的な脆弱性と無限承認リスクを取り上げた関連事例。
Bybitハッキング事件:Ethereumロールバック提案が浮き彫りにする暗号資産の未来
大型流出が問うEthereumエコシステムの信頼と、ブリッジ相互依存の論点を扱う。
【編集部後記】
今回のニュースで印象的だったのは、破られたのが難解な暗号ではなく、鍵を一本置き忘れたという「運用」の隙だったことです。最先端の技術ほど、足元の地味な手続きがすべてを左右する——そんな逆説を感じずにはいられません。みなさんは、ブリッジに資産を預けるとき、その裏側にある信頼の仕組みをどこまで意識しているでしょうか。便利さの一歩先にある「何を信じているのか」を、私たちも一緒に考えていけたら嬉しいです。
