Uma chave criptográfica privada esquecida em um repositório público foi suficiente para esvaziar US$ 1,7 milhão da bridge do Taiko — e forçar o protocolo a suspender operações.
O protocolo Taiko, uma solução de camada 2 (Layer 2) baseada na rede Ethereum, sofreu um ataque nesta semana que resultou na perda de aproximadamente US$ 1,7 milhão. A origem do problema foi simples e, ao mesmo tempo, grave: uma chave privada RSA-3072 foi acidentalmente publicada em um repositório público no GitHub, dando ao atacante tudo o que precisava para agir.
Segundo a The Defiant, o invasor utilizou essa chave para forjar provas de saque — documentos criptográficos que atestam que determinado usuário tem direito a retirar fundos da bridge entre a camada 2 e a rede principal do Ethereum (L1). Com provas falsas em mãos, o atacante sacou fundos que não lhe pertenciam diretamente dos contratos inteligentes da bridge.
A chave exposta estava no repositório raiko, o componente responsável por gerar provas dentro do sistema do Taiko. Ela fazia parte da infraestrutura de SGX (Software Guard Extensions), uma tecnologia da Intel usada para criar ambientes de execução seguros e isolados. Quando essa chave é mantida em sigilo, o sistema funciona corretamente. Quando ela vaza, qualquer pessoa pode assinar dados como se fosse o próprio protocolo.
É um código secreto usado para assinar e validar informações digitalmente. Quem a possui pode criar assinaturas consideradas legítimas pelo sistema — por isso seu sigilo é fundamental.
É um protocolo que permite transferir ativos entre duas redes blockchain distintas — como mover ETH da rede principal do Ethereum para uma solução de camada 2, e vice-versa.
Software Guard Extensions é uma tecnologia que cria “enclaves” isolados no processador para executar código sensível com segurança. Protocolos DeFi a usam para gerar provas criptográficas confiáveis.
São registros criptográficos que comprovam que um usuário depositou fundos em uma camada e tem direito a retirá-los em outra. Se forjadas, permitem saques indevidos dos contratos da bridge.
Como o protocolo respondeu ao ataque
Após detectar a exploração, a equipe do Taiko tomou medidas imediatas: suspendeu a produção de novos blocos na rede e orientou todos os usuários a retirarem seus fundos das pontes afetadas. A paralisação da produção de blocos é uma medida drástica — equivalente a “pausar” a rede —, mas necessária para conter danos adicionais enquanto a falha era investigada.
O repositório raiko no GitHub foi o ponto de origem do problema. A chave privada provavelmente foi incluída por engano durante alguma atualização de código — um erro humano comum em projetos de desenvolvimento, mas com consequências especialmente sérias em sistemas financeiros descentralizados.
Por que bridges são alvos frequentes?
Pontes entre blockchains concentram grandes volumes de ativos bloqueados em contratos inteligentes, o que as torna alvos naturais. Qualquer falha na lógica de validação — seja um bug no código ou uma chave vazada — pode ser explorada para saques indevidos. Historicamente, bridges já foram responsáveis por alguns dos maiores roubos do ecossistema cripto.
O incidente reforça uma lição recorrente no desenvolvimento de software para blockchain: segredos criptográficos jamais devem ser versionados em repositórios, ainda que privados — e especialmente não em repositórios públicos. Ferramentas de varredura de credenciais e boas práticas de gestão de segredos existem justamente para evitar esse tipo de exposição.
Para quem está começando a entender o universo cripto, episódios como esse ilustram a importância de compreender os riscos envolvidos em protocolos DeFi. Confira nosso guia completo de criptomoedas para entender os conceitos fundamentais antes de interagir com qualquer protocolo.
📰 Nota editorial
As informações deste artigo são baseadas na reportagem publicada pela The Defiant (thedefiant.io). O KriptoHoje não teve acesso independente aos contratos ou repositórios envolvidos. Detalhes técnicos do incidente podem ser atualizados à medida que a investigação avança.
Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.
Seus ativos fora do alcance de hackers
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.
Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.
Leituras relacionadas
🌉 Como funcionam as bridges de blockchain?Saiba o que são pontes entre redes, como elas transferem ativos entre camadas e quais riscos existem ao utilizá-las.
🛡️ Os maiores hacks da história do DeFiUma linha do tempo dos principais ataques a protocolos descentralizados e o que cada um ensinou ao ecossistema cripto.
Este conteúdo é de caráter informativo e não constitui recomendação de investimento. Criptomoedas são ativos voláteis; consulte um profissional antes de investir.