Taiko suspende a rede após exploit em bridge

25 de junho de 2026

Resumo

A Taiko suspendeu sua L2 na Ethereum em 22 de junho depois que um atacante forjou provas de saque cross-chain para drenar cerca de US$ 1,7 milhão da bridge e do cofre de tokens. A BlockSec atribuiu a causa raiz a uma chave de assinatura do enclave SGX da Raiko exposta e comitada no GitHub, o que permitiu ao atacante gerar provas fabricadas que o verificador aceitou.

O token TAIKO caiu mais de 20% enquanto a equipe congelava saques, interrompia a produção de blocos e pedia que as exchanges suspendessem depósitos. Cerca de US$ 170 mil em tokens foram movidos para a MEXC antes da contenção. O caso amplia um total de 2026 que já soma mais de 14 exploits de bridge e mais de US$ 340 milhões em perdas, após ataques de forged cross-chain messaging contra a Kelp DAO e a bridge Verus-Ethereum no início do ano.

Aprofundamento CEVIU

Aprofundamento

A falha que derrubou a Taiko não foi um rompimento criptográfico complexo, mas um erro operacional clássico: uma chave privada exposta no GitHub. O atacante usou uma chave de assinatura do enclave SGX da Raiko, comitada publicamente no repositório, para gerar provas forjadas de saque cross-chain. O verificador da bridge as aceitou como legítimas, permitindo saques sem fundos correspondentes na L2. Esse padrão já é recorrente em 2026, com exploits semelhantes contra Kelp DAO e Verus, mostrando que o elo fraco não é mais a matemática por trás das provas, mas a gestão humana delas.

O modelo de segurança de bridges baseado em provas zero-knowledge (ZK) está sendo testado não só pela engenharia, mas pela disciplina operacional. A Taiko usa uma arquitetura de validação descentralizada via Raiko, que depende de módulos de confiança (SGX) para produzir provas de estado. Com a chave comprometida, o sistema virou uma máquina de cunhar saques falsos. O fato de o valor roubado ter sido limitado a US$ 1,7 milhão se deve à rápida contenção, não à robustez do mecanismo.

Por que isso importa

Esse incidente expõe um paradoxo no avanço das L2s: quanto mais sofisticada a arquitetura ZK, maior o risco operacional se os controles forem amadores. A Taiko, apesar de tecnicamente ambiciosa, cometeu um erro básico de segurança de código, típico de projetos em fase experimental. O impacto vai além do valor perdido. Em um ano com 14 exploits de bridge, cada novo caso desgasta a confiança em toda a infraestrutura cross-chain, essencial para a escalabilidade da Ethereum. Se chaves críticas continuam vazando em repositórios públicos, o problema não é a tecnologia, é a cultura de desenvolvimento.

Linha do tempo

2026-01-15
Ataques similares ocorrem em Kelp DAO e na bridge Verus-Ethereum, explorando mensagens cross-chain forjadas.
2026-06-22
Taiko interrompe sua L2 após atacante usar chave exposta no GitHub para drenar US$ 1,7 milhão da bridge.

Perguntas frequentes

Como o atacante conseguiu forjar provas de saque?

O invasor acessou uma chave de assinatura do enclave SGX da Raiko que estava exposta no GitHub. Com ela, gerou provas ZK falsas de saque que o sistema da Taiko aceitou como válidas, mesmo sem haver depósitos correspondentes na L2.

Por que a Taiko paralisou a rede inteira?

A equipe congelou a produção de blocos e suspendeu saques para evitar novos saques fraudulentos enquanto investiga a origem exata da falha e corrige o verificador de provas. Era a única forma de conter o dano imediato.

Esse tipo de ataque é comum em bridges ZK?

Não é comum, mas está se tornando um padrão preocupante. Já aconteceu com Kelp DAO e Verus em 2026. Todos exploraram falhas na camada de mensagens cross-chain, especialmente quando envolvem componentes de confiança como SGX ou chaves mal geridas.

Fontes

coindesk.comfonte original

Avalie este artigo:

Categoria: CEVIU Cripto
Publicado: 25 de junho de 2026
Editoria: CEVIU Cripto