Ataque à rede Taiko expõe falha e drena US$ 1,7 mi

A rede Taiko, solução de escalabilidade baseada no Ethereum, sofreu um ataque nesta segunda-feira (22). O ataque resultou em perdas estimadas em até US$ 1,7 milhão. Os invasores exploraram uma falha no mecanismo de verificação de estado da bridge do protocolo. Elas ainda drenaram recursos do cofre de tokens ERC-20 implantado na rede principal do Ethereum.

Exploit compromete verificação de estado da bridge

A equipe da Taiko confirmou o comprometimento de seu mecanismo de verificação de estado e alertou que as premissas de segurança de todas as bridges implantadas na rede não podem mais ser consideradas confiáveis.

A empresa de segurança blockchain Blockaid foi a primeira a identificar a atividade suspeita. Os atacantes enviaram provas de mensagem forjadas que a rede principal do Ethereum aceitou sem que houvesse eventos legítimos correspondentes originados na cadeia Taiko. Isso permitiu o registro não autorizado de mensagens de bridge e a posterior liberação de ativos.

A empresa de segurança BlockSec apontou como provável causa raiz a exposição de uma chave de assinatura do Raiko — sistema que a Taiko utiliza para gerar as provas que convencem o Ethereum da autenticidade de suas transações — em um repositório público no GitHub. Essa chave deveria permanecer protegida dentro de um hardware seguro. Com ela exposta, o atacante conseguiu registrar seus próprios verificadores como legítimos e assinar provas fraudulentas aceitas pelo sistema da Taiko, simulando saques da bridge que liberaram ativos reais no Ethereum.

Em relação às perdas, as estimativas variam entre as fontes: a Blockaid apontou perdas de ao menos US$ 1 milhão, enquanto outros analistas elevam a estimativa para até US$ 1,7 milhão. Além disso, o explorador transferiu cerca de 1,99 milhão de tokens TAIKO, equivalentes a aproximadamente US$ 189 mil, para a corretora MEXC.

Suspensão dos contratos e contenção do ataque

Em resposta ao incidente, a equipe agiu rapidamente para limitar os danos. A bridge e o cofre ERC-20 foram pausados, com as retiradas por esses canais completamente interrompidas. As transações pendentes estão pausadas, não perdidas.

A Taiko interrompeu a produção de blocos e coordenou ações com seu Conselho de Segurança e parceiros do ecossistema. Paralelamente, corretoras como Upbit e Bithumb suspenderam temporariamente depósitos e saques do token TAIKO como medida de precaução. Alguns tokens movimentados pelo atacante foram congelados após coordenação rápida entre a Taiko e parceiros nas plataformas de negociação.

Orientações aos usuários e próximos passos

Com a bridge pausada, a equipe reverteu o aviso inicial que orientava saques imediatos. Os usuários não precisam tomar nenhuma ação no momento. A solicitação às corretoras centralizadas (CEX) para suspender depósitos de TAIKO permanece válida até aviso oficial.

Quanto à segurança pessoal, os desenvolvedores reforçaram que nunca solicitam chaves privadas em nenhuma circunstância. Usuários devem evitar clicar em links sobre supostos reembolsos em redes sociais e acompanhar apenas os canais oficiais da Taiko para informações atualizadas.

A equipe anunciou que publicará um relatório completo do incidente. O ataque utilizou a mesma falha de mensagens entre cadeias, responsável por mais de US$ 340 milhões em perdas em pelo menos 14 exploits em bridges ao longo de 2026. No caso da Taiko, os danos foram contidos principalmente porque a equipe identificou e congelou a atividade em poucas horas.