Top 3 Incidentes DeFi em Dezembro
Yearn Finance: ~$9M
Em 1º de dezembro, o pool yETH do Yearn Finance na Ethereum foi explorado, resultando em perdas totais superiores a $9 milhões. Com a ajuda de equipes externas de segurança, cerca de $2,39 milhões (857,49 pxETH) foram resgatados com sucesso no mesmo dia.
A vulnerabilidade residia na função _calc_supply(), que utilizava um método iterativo para calcular novas aproximações de fornecimento. Operações matemáticas inseguras causaram erros de arredondamento e problemas de underflow. Embora a vulnerabilidade em si parecesse relativamente simples, o atacante executou etapas sofisticadas para explorá-la, manipulando o fornecimento do pool até zero antes de extrair os lucros.
Dezesseis dias depois, o protocolo sofreu uma segunda violação, pois um contrato desatualizado de sua versão legada (iEarn) foi comprometido. Este incidente explorou uma vulnerabilidade de configuração incorreta conhecida identificada anteriormente em 2023. O segundo incidente resultou em $300 mil em perdas, elevando o impacto mensal total do protocolo a quase $10 milhões.
Leia o post-mortem oficial para uma análise detalhada do ataque
Trust Wallet: ~$7M
No dia de Natal, a Trust Wallet sofreu uma violação crítica de segurança em sua extensão para Chrome (v2.68), resultando no roubo de aproximadamente $7 milhões em fundos de usuários.
A causa raiz foi um backdoor malicioso injetado na base de código, com suspeita de ter se originado de um ataque de engenharia social direcionado à equipe de desenvolvimento. Este método de backdoor envia as mnemônicas dos usuários para um servidor controlado pelo atacante, comprometendo quaisquer mnemônicas geradas ou importadas usando essa versão específica da extensão. O atacante posteriormente drenou os fundos dos usuários em múltiplas redes e os encaminhou para exchanges sem KYC.
Após o incidente, a equipe da Trust Wallet lançou uma atualização de emergência para remover o backdoor e se comprometeu com um plano de compensação para os usuários afetados. Esta violação serve como um lembrete contundente de que a segurança deve abranger todo o ciclo de vida do protocolo. Além das auditorias de código on-chain, proteger a infraestrutura off-chain e manter o monitoramento contínuo são essenciais para salvaguardar os ativos dos usuários.
Ribbon Finance: ~$2.7M
Em 12 de dezembro, a Ribbon Finance na Ethereum foi atacada, resultando em uma perda de $2,7 milhões.
A causa raiz foi um controle de acesso inadequado na função setAssetPricer() dentro do contrato Oracle, permitindo que qualquer pessoa definisse arbitrariamente os preços dos ativos. O atacante explorou isso primeiro definindo um oráculo de preços de aparência legítima para evitar a detecção, já que o protocolo só liquida opções em intervalos semanais completos. Após criar e comprar uma posição de opção de compra, o atacante aguardou até a data de exercício para atualizar o contrato e substituir o oráculo benigno por um malicioso que definia um preço de ativo artificialmente inflado, exercendo então a opção para extrair lucro.
Este incidente destaca que o controle de acesso continua sendo um aspecto crítico da segurança de contratos inteligentes. Uma única falha no gerenciamento de permissões pode expor os protocolos a riscos significativos. Auditorias de segurança abrangentes que examinam todas as funções administrativas são essenciais antes da implantação para identificar e corrigir tais vulnerabilidades.
As informações acima são baseadas em dados de 00:00 UTC, 30 de dezembro de 2025.
Isso conclui o boletim de incidentes de segurança de dezembro
Você pode saber mais em nossa Biblioteca de Incidentes de Segurança.
Mantenha-se informado e seguro!
