Rețeaua Taiko, un sistem Layer-2 pe Ethereum, și-a suspendat producția de blocuri și a solicitat utilizatorilor să își retragă fondurile după ce un atacator a exploatat bridge-ul rețelei la începutul zilei de luni. Echipa a estimat pierderile la aproximativ 1,7 milioane USD înainte de a stopa fluxurile de ieșire. Tokenul rețelei, TAIKO, care are o capitalizare de piață de 14,5 milioane USD, a înregistrat o scădere de peste 20% de la miezul nopții UTC.
Atacatorul a reușit să falsifice dovezile pe care un bridge le folosește pentru a confirma că o retragere corespunde unui depozit real. Cererile de retragere false au fost acceptate pe Ethereum fără nicio tranzacție corespondentă pe lanțul Taiko, permițând atacatorului să înregistreze retrageri frauduloase și să retragă fonduri din bridge și din seiful de tokenuri al acestuia, a declarat Taiko. Bridge-urile sunt instrumente bazate pe blockchain care transferă active între diferite lanțuri, în acest caz, între Taiko și Ethereum. Rețelele blockchain Layer-2 procesează tranzacțiile în afara lanțului principal și le decontează pe acesta, oferind servicii mai rapide și mai ieftine decât sistemul gazdă.
Capacitatea atacatorului de a falsifica dovezi care păreau valide sugerează că acesta ar fi putut avea acces la o cheie compromisă. Firma de securitate BlockSec a afirmat că investigația sa inițială a indicat ca fiind cauza probabilă o cheie de semnare pentru Raiko, pe care Taiko o folosește pentru a produce dovezi care atestă autenticitatea unei tranzacții, și care a fost lăsată public accesibilă pe GitHub. Cheia ar trebui să fie păstrată într-un hardware securizat, astfel încât dovezile să fie de încredere. Dacă este expusă, atacatorii pot înregistra propriii proverbi ca fiind legitimi și pot semna dovezi frauduloase pe care verificatorul Taiko le-a acceptat, ulterior falsificând o retragere de pe bridge care eliberează active reale pe Ethereum.
Taiko a îndemnat toți utilizatorii să se retragă de la orice bridge din rețea, a solicitat bursei centralizate să suspende depunerile de token TAIKO și a rugat producătorii de blocuri să înceteze crearea de noi blocuri pe durata investigației. În jurul orei 2 dimineața ET, Taiko a anunțat că exploatarea a fost conținută și că retragerile prin bridge-ul principal și seiful de tokenuri au fost oprite. Exploatatorul mutase deja aproximativ 2 milioane de TAIKO, evaluate la aproximativ 170.000 USD, către un cont de pe bursa MEXC.
Pierderea în dolari este mică, dar vulnerabilitatea provine din același mecanism DeFi care a cauzat pierderi de sute de milioane de dolari în acest an. Mesaje cross-chain falsificate au atras 292 de milioane USD din bridge-ul Kelp DAO în aprilie și 11,4 milioane USD din bridge-ul Verus-Ethereum în mai. Bridge-urile au generat pierderi de peste 340 de milioane USD în cel puțin 14 exploatări în 2026, devenind cea mai costisitoare țintă din spațiul crypto. Pagubele Taiko au rămas limitate în principal datorită faptului că echipa a detectat și a înghețat incidentul în câteva ore. Taiko, lansată pe Ethereum în mai 2024, a afirmat că pregătește o analiză completă a incidentului.