Back to Blog

Revisão Mensal de Segurança: Abril de 2024

May 1, 2024
5 min read

Segurança em Destaque 👀

Em abril de 2024, incidentes de segurança relacionados a explorações de vulnerabilidades em DeFi resultaram em uma perda total de ~$5 milhões. A maioria dos incidentes de segurança foi causada por "Entrada de Usuário Não Verificada" e "Problemas de Controle de Acesso", com incidentes significativos envolvendo Hedgey Finance e SaitaChain.

Conselho aos Desenvolvedores: Verifique cuidadosamente o controle de acesso de funções críticas e o conteúdo das entradas de usuários, especialmente para protocolos com calldata flexível. Clique aqui para revisar incidentes relacionados anteriores.

  • Incidente Hedgey Finance

Em 19 de abril, @hedgeyfinance na Ethereum foi explorado, resultando em uma perda de mais de $1,8M. A causa raiz é Entrada de Usuário Não Verificada. É importante notar que, embora a equipe do projeto e uma empresa de segurança tenham alegado perdas de $40M, os lucros reais para o atacante foram limitados devido à falta de liquidez no token. Em última análise, o atacante pode ter sacado apenas algumas centenas de dólares, portanto não confiamos nessas estatísticas. Clique aqui para ver a causa raiz.

  • Incidente SaitaChain

Em 24 de abril, o Xbridge da SaitaChain foi atacado, perdendo cerca de $1M devido a um Problema de Controle de Acesso. O atacante conseguiu transferir todos os tokens listando um token por apenas 0,15 Ether. Detectamos o ataque imediatamente e notificamos a equipe do projeto.

  • Contrato Desconhecido (0x80a0)

Em 15 de abril, o contrato desconhecido (0x80a0) na BSC foi atacado, resultando em uma perda de ~$600 K. A causa raiz foi Entrada de Usuário Não Verificada. Verifique o alerta.

  • Incidente Pike Finance

Em 26 de abril, a Pike Finance perdeu aproximadamente $300K nas redes Ethereum, Arbitrum e Optimism. A causa raiz é Entrada de Usuário Não Verificada, originada por uma mensagem CCTP falsificada para drenar USDC. Detectamos o incidente imediatamente, mas como o contrato não era de código aberto, tivemos que aguardar a confirmação da equipe do projeto e a tomada de ação antes de divulgar uma transação de ataque.

  • Primeiro Caso de Exploração de Contrato Inteligente nos Estados Unidos

No primeiro caso nos Estados Unidos envolvendo exploração de contrato inteligente, o réu foi considerado culpado de apropriação indevida de ativos superiores a $12M e foi sentenciado a 3 anos de prisão com confisco dos rendimentos.

A exploração envolveu CremaFinance e NIRVANA FINANCE. Mais de $8,8M foram desviados apenas da CremaFinance. Após negociações, a CremaFinance concordou em pagar $1,5M (45.455 SOL) como recompensa de white hat. Aqui está a análise do fluxo de fundos do Incidente CremaFinance que realizamos usando o MetaSleuth.

A análise do fluxo de fundos do Incidente CremaFinance no MetaSleuth
A análise do fluxo de fundos do Incidente CremaFinance no MetaSleuth

👉 Para saber mais sobre transações de ataque, causas raiz e PoCs de vários incidentes de segurança, visite nossa Lista de Incidentes de Segurança.

Artigos do Blog

Este blog apresenta a ideia básica do EigenLayer e ilustra as novas ameaças de segurança no ecossistema de restaking.

Neste blog, mostraremos como usar o MetaSleuth para rastrear o dinheiro "inteligente" no token meme $TIM na Solana, que foi criticado como o insider do projeto que ganhou milhões de dólares comprando tokens $TIM.

O blog expõe o golpe de phishing "Inferno Drainer" que causa perdas substanciais e aconselha os usuários a transacionar com cautela para evitar tais fraudes.

Neste blog, mostraremos um novo tipo de phishing Web3 e forneceremos sugestões sobre como evitar ser vítima de phishing.

O blog fornece uma visão geral dos incidentes de hacking relacionados a drainers que têm como alvo usuários Web3, destacando os métodos empregados pelos hackers e visando aumentar a conscientização e proteção dos usuários contra essas táticas.

Atualizações de Produto

  • 🥳 Grande Atualização do Phalcon!

Protocolos e LPs agora podem monitorar variáveis-chave, incluindo structs aninhados, mapeamentos e arrays — especialmente aqueles que envolvem estruturas de dados complexas. Os usuários podem selecionar variáveis e configurar expressões de monitoramento em 10 segundos, sem necessidade de programação! Leia mais

Esta atualização capacita desenvolvedores, pesquisadores de segurança e LPs a entender e monitorar melhor as transações e os status dos protocolos, identificando rapidamente ameaças de segurança ou erros de configuração para manter a estabilidade do protocolo e proteger os fundos.

Agora ele suporta o modo de tela cheia (atalho Shift+F), permitindo que desenvolvedores e pesquisadores de segurança o utilizem de forma mais imersiva e se concentrem na análise. Experimente!

Parceria

  • Merlin ✖️ BlockSec

O BlockSec Phalcon agora suporta totalmente a Merlin, a principal BTC L2! 🎉 Após ETH, BSC e Arbitrum, a Merlin é a quarta rede suportada pelo Phalcon!

🛡️ BlockSec Phalcon está monitorando ativamente as atividades on-chain na Merlin Chain 24/7 e fornecendo alertas oportunos para a Merlin Chain. A partir de agora, equipes de protocolo e investidores na Merlin Chain também podem assinar o Phalcon para obter capacidades de monitoramento e bloqueio de ataques cripto.

🚀 Phalcon Explorer também suporta a Merlin! Explore rastros de transações, alterações de saldo e fluxos de fundos facilmente. Para alguns contratos mainstream sem código-fonte no Merlin Blockchain Explorer, ele oferece acesso a contratos verificados.

  • Forta ✖️ BlockSec

Sobre a BlockSec

A BlockSec é uma empresa pioneira em segurança blockchain estabelecida em 2021 por um grupo de especialistas em segurança mundialmente reconhecidos. A empresa está comprometida em aprimorar a segurança e a usabilidade para o emergente mundo Web3, a fim de facilitar sua adoção em massa. Para esse fim, a BlockSec oferece serviços de auditoria de segurança de contratos inteligentes e redes EVM, a plataforma Phalcon para desenvolvimento seguro e bloqueio proativo de ameaças, a plataforma MetaSleuth para rastreamento e investigação de fundos, e a extensão MetaSuites para construtores web3 que navegam com eficiência no mundo cripto.

Até o momento, a empresa atendeu a mais de 300 clientes renomados, como MetaMask, Uniswap Foundation, Compound, Forta e PancakeSwap, e recebeu dezenas de milhões de dólares em duas rodadas de financiamento de investidores proeminentes, incluindo Matrix Partners, Vitalbridge Capital e Fenbushi Capital.

Site oficial: https://blocksec.com/

Conta oficial no Twitter: https://twitter.com/BlockSecTeam

Sign up for the latest updates
~$5,98M Perdidos: Aztec, Raydium e Mais | BlockSec Semanal
Security Insights

~$5,98M Perdidos: Aztec, Raydium e Mais | BlockSec Semanal

Relatório semanal de segurança blockchain (8-15 jun/2026): 4 incidentes no Ethereum e Solana, perdas de ~$5,98M. Destaques: Aztec Connect (validação ausente causou estados inconsistentes) e Raydium (falha no AMM v3 permitiu manipulação de LP tokens). Tipos: falta de validação, overflow e captura de governança.

Sanções do OFAC ao Cartel de Sinaloa: Rastreamento de Fundos On-Chain

Sanções do OFAC ao Cartel de Sinaloa: Rastreamento de Fundos On-Chain

Rede do Cartel de Sinaloa sancionada pelo OFAC por lavagem de recursos do fentanil. Rastreamos os seis endereços sancionados com MetaSleuth; o dinheiro flui quase inteiramente por depósitos em exchanges centralizadas.

Análise de Bug de Solidez do Zcash Orchard | BlockSec Semanal
Security Insights

Análise de Bug de Solidez do Zcash Orchard | BlockSec Semanal

Vulnerabilidade crítica no circuito Orchard do Zcash foi divulgada em junho de 2026: restrição ausente no gadget de multiplicação escalar halo2 permitia falsificação indetectável de ZEC. Existia há 4 anos, descoberta por IA (Opus 4.8) e corrigida via atualização emergencial NU6.2.