Top 3 Incidentes de Segurança de Maio
As perdas mais significativas de maio não foram causadas por vulnerabilidades em contratos inteligentes, mas por falhas nos limites de confiança, incluindo comprometimentos de chaves privadas, falhas de validação entre cadeias e falhas de segurança operacional em torno da autoridade de emissão e semântica de bridges.
Esse padrão serve como um lembrete de que a segurança Web3 vai muito além do código de contratos inteligentes. Todo sistema incorpora premissas de confiança ao longo de seu ciclo de vida completo. Quando qualquer uma dessas premissas é quebrada, ela se torna o elo mais fraco — e muitas vezes o único que um atacante precisa.
Echo Protocol: ~$76,7M
Em 19 de maio de 2026, a implantação do eBTC do Echo Protocol na Monad sofreu um grave incidente de segurança. Com base no valor indexado do eBTC emitido no momento do exploit, a perda foi estimada em aproximadamente $76,7 milhões.
A causa raiz foi um comprometimento de chave de administrador, e não uma vulnerabilidade convencional de lógica de contrato inteligente. Após obter controle privilegiado, o atacante emitiu aproximadamente 1.000 eBTC sem lastro sem depositar o colateral correspondente. Como o eBTC foi projetado para acompanhar o valor do BTC, a emissão não autorizada criou imediatamente uma exposição nocional massiva. O atacante então moveu parte do fornecimento forjado para protocolos downstream, transformando o incidente em um evento de risco entre protocolos.
Este caso destaca que, para sistemas de ativos sintéticos ou wrapped, o limite de segurança crítico não é apenas a correção do contrato, mas também se a autoridade de emissão está excessivamente concentrada em uma única chave privilegiada. Uma vez que essa âncora de confiança é comprometida, o atacante pode contornar completamente o modelo de colateralização pretendido.
StablR: ~$12,8M
Em 24 de maio de 2026, o sistema de stablecoin da StablR sofreu uma violação de segurança envolvendo aproximadamente $12,8 milhões em emissão não autorizada de tokens.
Com base em relatórios públicos, isso pareceu ser principalmente um comprometimento de infraestrutura ou de gerenciamento de chaves, e não um exploit convencional de contrato inteligente. O atacante obteve controle sobre a autoridade de emissão baseada em multisig e foi então capaz de substituir ou tomar posse dos papéis de propriedade, possibilitando a emissão não autorizada de USDR e EURR. Embora os rendimentos realizados on-chain pelo atacante tenham sido menores do que o valor nocional total dos tokens emitidos ilegalmente, o incidente ainda causou despegamento e expôs fraquezas no isolamento da autoridade de emissão, segurança dos signatários e design de governança multisig.
Para protocolos de stablecoin, essa classe de incidente é especialmente grave porque o atacante não precisa drenar diretamente as reservas do tesouro. Se a emissão não autorizada for possível, a confiança do mercado na resgatabilidade pode entrar em colapso imediatamente, fazendo com que o peg falhe e a liquidez se deteriore rapidamente.
Verus: ~$11,7M
Em 18 de maio de 2026, a Verus-Ethereum Bridge foi explorada por aproximadamente $11,7 milhões, afetando ETH, tBTC e USDC. Em 23 de maio de 2026, cerca de 75% dos fundos roubados haviam sido devolvidos.
A causa raiz foi uma falha de validação de tipo no caminho de importação do lado Ethereum. A Verus-Ethereum Bridge foi projetada para liberar ativos no Ethereum após provar que um objeto de exportação qualificado existe na Verus sob um estado notarizado. No entanto, a lógica vulnerável verificava apenas que algum objeto do lado Verus existia, e falhava em garantir que o objeto comprovado fosse realmente uma exportação primária válida destinada ao processamento de pagamento. Como resultado, o atacante conseguiu criar uma exportação em branco na Verus contendo uma saída de exportação suplementar artesanal, provar esse objeto no Ethereum e fazer com que a bridge o classificasse erroneamente como uma exportação normal com valor.
O atacante então forneceu serializedTransfers correspondentes ao compromisso de hash de transferência embutido, permitindo que a importação fraudulenta passasse pelas verificações do lado Ethereum e acionasse a liberação de ativos da bridge. Este incidente mostra que a segurança de bridges não depende apenas da verificação de prova criptográfica, mas também da validação rigorosa de tipo de objeto, estado, flags, limites de codificação e semântica de execução. Se um protocolo prova apenas que um objeto existe, mas não que ele é o objeto correto para a ação pretendida, mesmo uma prova válida pode ser abusada para autorizar pagamentos inválidos.
As informações acima são baseadas em dados de 00:00 UTC, 1º de junho de 2026.
Isso conclui o resumo de incidentes de segurança de abril. Para uma análise mais aprofundada de incidentes de segurança em blockchain e tendências de segurança Web3, você pode explorar nossos recursos.
Você pode saber mais em nossa Biblioteca de Incidentes de Segurança.
Mantenha-se informado e seguro!
