보안 침해 사건이 주말 동안 Taiko의 이더리움 레이어 2 브리지를 강타해 프로토콜에서 약 170만 달러가 유출되었고, 팀은 사용자가 즉시 자금을 인출하도록 촉구하면서 모든 블록 생성 중단을 결정했다. Taiko 브리지 해킹은 메인넷 출시 후 불과 2년 만에 네트워크에 대한 신뢰를 뒤흔들었으며, 탈취된 자금은 이미 중앙화 거래소를 통해 이동하고 있다.
Summary
핵심 요약
- Taiko의 이더리움 레이어 2 브리지는 증명 검증 취약점으로 인해 약 170만 달러를 잃었다.
- 결함으로 인해 위조된 메시지 증명이 검증을 우회해 Taiko 체인에서 정당한 백킹 이벤트 없이 ERC20 볼트에서 자금이 출금될 수 있었다.
- 거의 200만 개의 Taiko 토큰이 MEXC 거래소로 전송되었으며, 약 150만 달러는 여전히 공격자 지갑에 남아 있고 대부분은 이더(ETH) 형태다.
- Taiko는 모든 블록 생성을 중단하고, 모든 브리지 사용자에게 즉시 자금 인출을 촉구했다.
- DeFiLlama에 따르면 이번 사건은 2026년 6월에 기록된 최소 23건의 크립토 익스플로잇 중 하나다.
Taiko 브리지 익스플로잇: 실제로 무슨 일이 있었나
이번 공격은 Taiko의 체인 상태 검증 메커니즘, 즉 이더리움 메인 레이어와 Taiko 네트워크 사이를 오가는 메시지가 정당한지 확인하는 시스템을 정면으로 노렸다. 온체인 보안 업체 Blockaid는 브리지가 소스 시그널 증명을 검증하는 방식에 결함이 있음을 가장 먼저 지적한 곳 중 하나였다.
쉽게 말해, 브리지는 Taiko 소스 체인에서 해당하는 MessageSent 이벤트가 발생하지 않았음에도 이더리움 L1에서 조작된 메시지 증명을 유효한 것으로 받아들였다. 이 허점을 통해 공격자는 허위 브리지 메시지를 등록하고, 원래라면 승인될 수 없는 출금을 트리거할 수 있었다.
ERC20 볼트에서 자금이 빠져나간 방식
위조된 증명이 검증을 통과하자, 공격자는 이를 이용해 ERC20 볼트에서 직접 자산을 인출했다. Taiko 체인에서 해당 출금을 정당화할 어떤 백킹 이벤트도 없이 이뤄진 것이다. 메커니즘은 깔끔하고 의도적이었다. 가짜 증명을 넣고, 진짜 자금을 빼낸 셈이다.
Taiko는 사건 이후 업데이트에서 이를 확인했다. “위조된 메시지 증명이 소스 체인에서 정당한 이벤트 없이 L1에서 수용되었고, 이로 인해 공격자는 허위 출금을 등록하고 브리지와 토큰 볼트에서 자금을 인출할 수 있었습니다.”
Blockaid의 초기 추산에 따르면 손실액은 약 100만 달러였다. 이후 PeckShield와 Lookonchain의 추가 분석으로 이 수치는 약 170만 달러로 상향 조정되었고, 이는 일시 중지 전에 Taiko가 자체적으로 확인한 추정 손실액과 일치한다.
탈취 자산의 이동과 현황
공격자는 탈취 자금을 이동시키는 데 거의 시간을 지체하지 않았다. 거의 200만 개의 Taiko 토큰 — 전송 시점 기준 실행 가격에 따라 약 16만 9천~18만 9천 달러 상당 — 이 MEXC 거래소의 한 주소로 보내졌다. 이는 중요한 움직임이다. 토큰을 중앙화 거래소로 라우팅하는 것은, 회수 시도가 자산을 동결하기 전에 탈취 자산을 전환하고 흔적을 흐리려는 전형적인 시도다.
블록체인 인텔리전스가 보여주는 것
Arkham이 추적한 데이터에 따르면, 최신 보고 시점 기준으로 약 150만 달러가 여전히 익스플로이터 지갑에 남아 있으며, 대부분은 네이티브 Taiko 토큰이 아닌 이더(ETH) 형태로 보유되고 있다. 이는 공격자가 탈취 자산의 일부를 더 높은 유동성을 가진 자산으로 전략적으로 전환하는 한편, Taiko 토큰은 MEXC를 통해 빠르게 처분해 가치를 실현했음을 시사한다.
Taiko는 또한 중앙화 거래소에 자사의 네이티브 토큰 입금을 별도 공지가 있을 때까지 중단해 달라고 공식 요청했다. 이는 공격자가 남은 보유분을 현금화하는 능력을 제한하기 위한 조치다.
Taiko의 즉각적인 대응과 사용자 경고
속도가 관건이었고, Taiko는 빠르게 움직였다. 팀은 X를 통해 침해 사실을 공개적으로 확인하고, 영향을 받은 모든 시스템을 일시 중지했으며, 조사 진행 중에는 모든 블록 제안자가 새 블록을 생성하지 못하도록 막았다. 월요일 오전 2시 8분(미 동부 시간)경 Taiko는 익스플로잇이 차단되었고 L1 브리지와 ERC20Vault를 통한 출금이 완전히 중단되었음을 알리는 업데이트를 게시했다.
사용자가 무시할 수 없었던 경고
“Taiko에 배포된 모든 브리지의 보안 가정은 더 이상 신뢰할 수 없습니다.”라고 팀은 적었다. 이는 문제가 단일 컨트랙트를 넘어선다는 점을 이례적으로 직설적으로 인정한 것이다. 사용자들은 모든 Taiko 브리지에서 즉시 자금을 인출할 것을 예외 없이 요구받았다.
Taiko는 또한 보안 위원회(Security Council)와 생태계 파트너들과 협력해 사건을 통제하고 있으며, 전체 포스트모템을 준비 중이라고 밝혔다. 법률 및 기술 파트너와 함께 일하는 팀이 있다는 것은 대응이 단순한 패치에 그치지 않으며, 공격자에 대한 법적·기술적 후속 조치가 추진될 수 있음을 시사한다.
Taiko가 베이스드 롤업(based rollup), 즉 자체 시퀀서가 아닌 이더리움 검증인에 의존해 트랜잭션을 시퀀싱하는 롤업이라는 사실은, 이러한 익스플로잇이 어떻게 전개되고 어떻게 차단되는지에 또 다른 복잡성을 더한다. 이 프로토콜은 2022년부터 개발되어 2024년 5월 메인넷에 출시되었다.
맥락: 2026년 6월에 발생한 23건의 크립토 익스플로잇 중 하나
Taiko 브리지 해킹은 고립된 사건이 아니다. DeFiLlama에 따르면 2026년 6월에만 최소 23건의 크립토 익스플로잇이 기록되었으며, 이는 최근 기억 중 가장 보안 침해가 활발했던 달 중 하나다.
다른 곳에서 발생한 손실 규모는 Taiko의 170만 달러를 훨씬 상회한다. Humanity Protocol은 이번 달 가장 큰 해킹을 당해 3천만 달러 이상을 잃었다. Syscoin 브리지는 800만 달러 이상 피해를 입었다. Secret Network는 Taiko 사건 며칠 전 무한 발행(infinite mint) 취약점으로 467만 달러를 잃었다. 그리고 같은 주말에 PancakeSwap 유동성 풀 하나가 약 110만 달러를 탈취당했다.
브리지는 여전히 크립토에서 가장 많이 노려지는 인프라 중 하나이며, 2026년 6월은 이 문제가 얼마나 심각한지 다시 한 번 강하게 상기시켰다. 복잡한 크로스체인 메시지 전달, 다자간 증명 검증, 대규모 유동성 풀의 조합은, 철저한 감사를 거친 시스템조차 완전히 닫기 어려운 공격 표면을 만들어낸다.
Taiko 토큰 가격에 미친 영향
네이티브 Taiko 토큰은 이번 익스플로잇 훨씬 전부터 이미 압박을 받고 있었다. 현재 가격은 0.084달러로, 2024년 고점 대비 98% 하락한 상태다. 이번 보안 침해는 이미 스트레스를 받고 있는 가격 차트에 신뢰 문제를 추가했다. 토큰 보유자들은 팀이 블록 생성을 중단한 가운데, 탈취된 토큰이 MEXC로 흘러 들어가는 상황을 보며 리스크와 회복 가능성을 냉정하게 저울질해야 한다.
Taiko가 준비 중인 포스트모템이 의미 있는 기술적 투명성을 제공하는지, 그리고 프로토콜이 증명 검증 결함이 시스템 전반이 아닌 국지적 문제였음을 입증할 수 있는지가, 사용자 신뢰가 얼마나 빨리 — 혹은 과연 — 회복될지를 좌우할 가능성이 크다.
FAQ
Taiko 브리지는 어떻게 해킹되었나요?
해킹은 Taiko 브리지가 소스 시그널 증명을 검증하는 방식의 결함을 악용했습니다. 위조된 메시지 증명이 Taiko 소스 체인에서 해당하는 정당한 이벤트 없이도 이더리움 L1에서 유효한 것으로 받아들여졌고, 이를 통해 공격자는 허위 출금을 등록하고 ERC20 볼트에서 자금을 인출할 수 있었습니다.
해킹 이후 Taiko는 어떤 조치를 취했나요?
Taiko는 모든 블록 생성을 중단하고, 영향을 받은 시스템을 일시 중지했으며, 프로토콜에 배포된 모든 브리지에서 사용자들이 즉시 자금을 인출하도록 촉구했습니다. 또한 중앙화 거래소에 네이티브 토큰 입금 중단을 요청했습니다. 팀은 보안 위원회와 공조하고 있으며, 전체 포스트모템을 준비 중이라고도 확인했습니다.
얼마나 탈취되었고, 탈취된 토큰은 어떻게 되었나요?
총 약 170만 달러가 탈취되었습니다. 거의 200만 개의 Taiko 토큰 — 전송 시점 기준 약 16만 9천~18만 9천 달러 상당 — 이 공격자에 의해 MEXC 거래소로 이동되었습니다. 약 150만 달러는 여전히 익스플로이터 지갑에 남아 있으며, 대부분은 이더(ETH) 형태입니다.
이번 해킹의 더 넓은 의미는 무엇인가요?
Taiko 브리지 해킹은 DeFiLlama에 따르면 2026년 6월에 기록된 최소 23건의 크립토 익스플로잇 중 하나입니다. 이달에는 Humanity Protocol(3천만 달러 이상)과 Syscoin 브리지(800만 달러 이상)에서 훨씬 더 큰 침해가 발생했으며, 이는 업계 전반의 크로스체인 브리지 인프라에 지속적인 취약성이 존재함을 부각합니다.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”Taiko 브리지는 어떻게 해킹되었나요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”해킹은 Taiko 브리지가 소스 시그널 증명을 검증하는 방식의 결함을 악용했습니다. 위조된 메시지 증명이 Taiko 소스 체인에서 해당하는 정당한 이벤트 없이도 이더리움 L1에서 유효한 것으로 받아들여졌고, 이를 통해 공격자는 허위 출금을 등록하고 ERC20 볼트에서 자금을 인출할 수 있었습니다.”}},{“@type”:”Question”,”name”:”해킹 이후 Taiko는 어떤 조치를 취했나요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Taiko는 모든 블록 생성을 중단하고, 영향을 받은 시스템을 일시 중지했으며, 프로토콜에 배포된 모든 브리지에서 사용자들이 즉시 자금을 인출하도록 촉구했습니다. 또한 중앙화 거래소에 네이티브 토큰 입금 중단을 요청했습니다. 팀은 보안 위원회와 공조하고 있으며, 전체 포스트모템을 준비 중이라고도 확인했습니다.”}},{“@type”:”Question”,”name”:”얼마나 탈취되었고, 탈취된 토큰은 어떻게 되었나요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”총 약 170만 달러가 탈취되었습니다. 거의 200만 개의 Taiko 토큰 — 전송 시점 기준 약 16만 9천~18만 9천 달러 상당 — 이 공격자에 의해 MEXC 거래소로 이동되었습니다. 약 150만 달러는 여전히 익스플로이터 지갑에 남아 있으며, 대부분은 이더(ETH) 형태입니다.”}},{“@type”:”Question”,”name”:”이번 해킹의 더 넓은 의미는 무엇인가요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Taiko 브리지 해킹은 DeFiLlama에 따르면 2026년 6월에 기록된 최소 23건의 크립토 익스플로잇 중 하나입니다. 이달에는 Humanity Protocol(3천만 달러 이상)과 Syscoin 브리지(800만 달러 이상)에서 훨씬 더 큰 침해가 발생했으며, 이는 업계 전반의 크로스체인 브리지 인프라에 지속적인 취약성이 존재함을 부각합니다.”}}]}
본 기사는 인공지능의 도움을 받아 제작되었으며, 편집팀의 검수를 거쳤습니다.
