coindesk.com
Taiko, ein Ethereum Layer-2-Netzwerk, das Transaktionen außerhalb der Hauptkette verarbeitet und diese anschließend auf der Hauptkette abwickelt, hat die Blockproduktion gestoppt und die Nutzer aufgefordert, ihre Mittel abzuziehen, nachdem ein Angreifer am frühen Montagmorgen eine Schwachstelle in seiner Bridge ausgenutzt hatte.
Das Team schätzte die Verluste auf etwa 1,7 Millionen US-Dollar, bevor es die Abflüsse stoppte.
Der Angreifer fälschte die Nachweise, die eine Brücke verwendet, um zu bestätigen, dass eine Auszahlung einer tatsächlichen Einzahlung entspricht. Gefälschte Auszahlungsanforderungen wurden auf Ethereum akzeptiert, ohne dass eine entsprechende Transaktion auf Taikos eigener Chain vorlag, was es dem Angreifer ermöglichte, betrügerische Auszahlungen zu registrieren und Gelder aus der Brücke sowie ihrem Token-Tresor abzuziehen, so Taiko.
Brücken sind ein blockchainbasiertes Werkzeug, das Vermögenswerte zwischen Taiko und Ethereum transferiert.
Wie der Angreifer gültig aussehende Nachweise fälschte, deutet auf einen geleakten Schlüssel hin.
Sicherheitsunternehmen BlockSec sagte Seine erste Untersuchung führt die wahrscheinliche Ursache auf einen Signaturschlüssel für Raiko zurück, das System, das Taiko verwendet, um die Nachweise zu erzeugen, die Ethereum davon überzeugen, dass seine Transaktionen echt sind, und der öffentlich zugänglich auf GitHub hinterlegt wurde.
Dieser Schlüssel soll innerhalb sicherer Hardware versiegelt bleiben, damit die Nachweise vertrauenswürdig sind. Wenn er offengelegt wird, könnte ein Angreifer eigene Beweiser als legitim anmelden und betrügerische Nachweise signieren, die vom Verifizierer von Taiko akzeptiert werden, um dann eine Brücken-Auszahlung zu fälschen, die reale Vermögenswerte auf Ethereum freigibt.
.@taikoxyz was reportedly attacked, with losses exceeding $1.7M. Our initial investigation suggests the likely root cause was an exposed Raiko SGX enclave signing key on GitHub. Raiko is Taiko’s multi-prover stack for Taiko and Ethereum blocks, so an exposed Raiko SGX enclave key… https://t.co/8BIiEeNtYJ pic.twitter.com/eAq9Xjngz8
— BlockSec Phalcon (@Phalcon_xyz) June 22, 2026
Taiko forderte alle Nutzer auf, von jeder Brücke im Netzwerk abzuheben, bat zentralisierte Börsen, Einzahlungen seines TAIKO-Tokens auszusetzen, und veranlasste seine Blockproduzenten, während der Untersuchung keine neuen Blöcke zu erstellen.
Gegen etwa 2 Uhr morgens ET wurde mitgeteilt, dass der Exploit eingedämmt wurde und Abhebungen über die Hauptbrücke sowie den Token-Tresor vollständig gestoppt sind. Der Angreifer hatte bereits etwa 2 Millionen TAIKO im Wert von rund 170.000 US-Dollar auf ein Konto bei der MEXC-Börse transferiert.
Der Dollarschaden ist gering, doch die Schwachstelle liegt im selben DeFi-Mechanismus, der in diesem Jahr bereits Verluste in Höhe von Hunderten Millionen verursacht hat.
Gefälschte Cross-Chain-Nachrichten entzogen der Kelp DAO-Brücke im April 292 Millionen US-Dollar und der Verus-Ethereum-Brücke im Mai 11,4 Millionen US-Dollar in demselben Fehler, bei dem eine Blockchain dazu verleitet wird, einer gefälschten Anweisung einer anderen zu vertrauen. Brücken verursachten im Jahr 2026 bei mindestens 14 Exploits Verluste von über 340 Millionen US-Dollar, was sie zum kostspieligsten Ziel im Kryptobereich macht. Der Schaden bei Taiko blieb hauptsächlich begrenzt, da das Team den Vorfall innerhalb von Stunden erkannte und stoppte.