Der Ethereum-Layer-2 Taiko ist am 22. Juni 2026 Ziel eines Bridge-Exploits geworden, bei dem ein Angreifer umgerechnet rund 1,7 Millionen Dollar abgezogen hat. Möglich wurde der Taiko Bridge Exploit nach erster Analyse durch einen Signing-Key, der versehentlich öffentlich auf GitHub lag. Das Team stoppte die Blockproduktion, pausierte die betroffenen Smart Contracts und kündigte einen ausführlichen Post-mortem-Bericht an.
Im Zentrum des Vorfalls steht die offizielle Bridge zwischen Taiko und dem Ethereum-Mainnet, über die Nutzer Assets zwischen beiden Chains transferieren. In den frühen Morgenstunden brachte ein Angreifer dort gefälschte Auszahlungsnachweise zur Validierung, obwohl auf der Taiko-Chain keine passenden Einzahlungen vorlagen, und zog vor allem ETH und USDC aus dem ERC20-Vault ab. Im Dollar-Vergleich blieb der Schaden überschaubar, doch der Fall reiht sich in eine auffällige Serie von Bridge-Angriffen im Jahr 2026 ein und trifft ausgerechnet ein Projekt mit hohem Sicherheitsanspruch.
Taiko Bridge Exploit, so lief der Angriff ab
Im Kern nutzte der Angreifer eine Schwäche in der Prüfung sogenannter Source-Signal-Proofs aus. Vereinfacht gesagt muss eine Bridge bestätigen, dass zu einer Auszahlung auf der einen Chain ein echtes Ereignis auf der anderen Chain gehört. Genau diese Prüfung griff nicht. Nach Darstellung der Sicherheitsfirma Blockaid akzeptierten die Ethereum-Verträge gefälschte Nachrichtennachweise als gültig, obwohl auf Taiko keine zugehörigen legitimen MessageSent-Ereignisse existierten. Dadurch konnte der Angreifer betrügerische Bridge-Nachrichten registrieren und später einlösen, was unautorisierte Auszahlungen aus dem ERC20-Vault auslöste. Der Abfluss erfolgte nach Analyse von QuillAudits in zwei Phasen und betraf die Bridge sowie den Vault auf Ethereum. Betroffen waren vor allem ETH und USDC. Zusätzlich verschob der Angreifer nach Daten von PeckShield und Lookonchain knapp zwei Millionen TAIKO-Token im Gegenwert von rund 170.000 bis 190.000 Dollar an die Börse MEXC.
Die Angaben zur Schadenshöhe schwankten zunächst. Blockaid meldete bei der Entdeckung Verluste von mehr als einer Million Dollar, Lookonchain und PeckShield hoben die Schätzung später auf rund 1,7 Millionen Dollar an. Eine offiziell bestätigte Endsumme liegt bislang nicht vor, da der Post-mortem-Bericht noch aussteht.
Die mutmaßliche Ursache, ein Signing-Key auf GitHub
Bleibt die Frage, wie der Angreifer überhaupt gültig wirkende Nachweise erzeugen konnte. Die Sicherheitsfirma BlockSec führt das in einer ersten Analyse auf einen offengelegten Signing-Key zurück. Konkret soll es sich um einen SGX-Enclave-Key aus Raiko handeln, dem Multi-Prover-Stack, mit dem Taiko die Korrektheit von Blöcken für Taiko und Ethereum nachweist. Dieser Schlüssel war nach Darstellung von BlockSec öffentlich auf GitHub zugänglich. Die Analysefirma QuillAudits wird konkreter und beschreibt einen privaten RSA-3072-Schlüssel, der als Datei im öffentlichen Repository taikoxyz/raiko lag. Da Taikos Verträge auf Ethereum jeder Enclave vertrauten, die zum hinterlegten Signaturwert passte, konnte der Angreifer eine eigene, manipulierte Enclave als legitimen Prover registrieren und damit gefälschte Zustandsnachweise signieren.
Eigentlich soll ein solcher Schlüssel dauerhaft in abgesicherter Hardware verschlossen bleiben, damit die Nachweise vertrauenswürdig sind. Taiko ging im Mai 2024 live und versteht sich als erster based Rollup auf Ethereum, der ohne zentralen Sequencer auskommt und auf ein Multi-Prover-System mit Intel-SGX setzt, während das Projekt schrittweise auf vollständige Zero-Knowledge-Proofs umstellt. Für einen Layer-2, der mit dezentralem, hardwaregestütztem Proving wirbt, wiegt dieser Vertrauensbruch schwerer als der reine Geldbetrag.
Reaktion und aktueller Stand
Aufgefallen war der Vorfall zuerst dem Monitoring von Blockaid, dessen System einen laufenden Angriff auf den ERC20-Vault meldete. Taiko bestätigte daraufhin in einer Sicherheitswarnung auf X, dass die Prüfung des Chain-Zustands kompromittiert sei und die Sicherheitsannahmen aller auf Taiko betriebenen Bridges nicht mehr verlässlich seien. Das Team forderte alle Nutzer auf, ihre Mittel umgehend aus sämtlichen Bridges abzuziehen, bat zentrale Börsen um eine Aussetzung von TAIKO-Einzahlungen und ließ die Produzenten neuer Blöcke die Blockproduktion stoppen. Mehrere Handelsplätze reagierten, darunter Upbit, Bithumb und KuCoin, die Ein- und teils Auszahlungen vorübergehend aussetzten.
Wenige Stunden später meldete Taiko, der Vorfall sei eingedämmt. Bridge und ERC20-Vault seien pausiert, Auszahlungen über beide vollständig gestoppt, weshalb der zuvor ausgesprochene Rat zum Abzug der Mittel nicht mehr gelte. Ausstehende Transaktionen seien pausiert und nicht verloren. Parallel veröffentlichte das Team Wallet-Adressen des Angreifers, um Börsen und Ermittlern das Nachverfolgen und mögliche Einfrieren von Geldern zu ermöglichen. Die technische Korrektur erschien zunächst als Code in Form eines Pull Requests im Taiko-Repository, der unter anderem ein Zurücksetzen des Inbox-Zustands, das Entwerten betrügerischer Bridge-Nachrichten und neue Limits bündelt. Ein vollständiger Post-mortem-Bericht mit bestätigter Ursache und etwaigem Entschädigungsplan steht nach dem Stand der bislang verfügbaren Berichte noch aus, die Bridge bleibt vorerst pausiert.
Marktreaktion, TAIKO unter Druck
Der TAIKO-Token gab nach Bekanntwerden des Angriffs in den ersten Stunden um rund zehn Prozent auf etwa 0,07 Dollar nach und bewegte sich damit nahe seinem Allzeittief, einzelne Medien berichteten von zwischenzeitlich noch deutlicheren Verlusten. Nach Daten von CoinGecko notiert der Token rund 98 Prozent unter seinem Hoch von 2024. Gemessen an einer Marktkapitalisierung von etwa 14,5 Millionen Dollar fällt die Beute trotz des im Vergleich zu anderen Hacks niedrigen Dollarwerts ins Gewicht, sie entspricht einem zweistelligen Prozentanteil der gesamten Marktkapitalisierung.
Bridges bleiben das teuerste Ziel 2026
Der Taiko Bridge Exploit reiht sich in eine lange Serie von Angriffen auf Cross-Chain-Bridges ein. Nach übereinstimmenden Berichten summieren sich die Bridge-Verluste im Jahr 2026 auf mehr als 340 Millionen Dollar über mindestens 14 Vorfälle, womit Bridges das kostspieligste Angriffsziel im Kryptosektor sind. Den größten Einzelfall des Jahres bildet der Angriff auf die Bridge von KelpDAO im April mit rund 292 Millionen Dollar, im Mai traf es die Verus-Ethereum-Bridge mit etwa 11,4 Millionen Dollar. Nur wenige Tage vor dem Taiko-Vorfall verlor eine Aztec-Bridge rund 2,2 Millionen Dollar. Allein im Juni zählte DeFiLlama mehr als 20 Protokoll-Exploits, die größten betrafen das Humanity Protocol mit über 30 Millionen Dollar und die Syscoin-Bridge mit über 8 Millionen Dollar. Mehrere Analysehäuser bezeichnen das zweite Quartal 2026 inzwischen als den schadensträchtigsten Zeitraum der Kryptogeschichte.
Auffällig am Taiko-Fall ist der Angriffsvektor. Während viele Bridge-Hacks auf manipulierte Orakel oder kompromittierte Multisigs zurückgehen, zielte dieser Angriff auf die hardwaregestützte SGX-Attestierung, ein bislang wenig beachtetes Einfallstor bei Rollups mit TEE- oder ZK-Proving. Der Vorfall verweist damit weniger auf eine exotische Lücke im Vertragscode als auf einen klassischen Betriebsfehler im Umgang mit geheimen Schlüsseln.
