Back to Blog

Boletim Informativo - Fevereiro de 2026

Code Auditing
March 1, 2026
3 min read

Top 3 Incidentes DeFi em Fevereiro

YieldBlox DAO: ~$10M

Em 22 de fevereiro de 2026, um pool de empréstimos operado pela YieldBlox DAO na Blend V2 da Stellar foi explorado, resultando em perdas superiores a $10 milhões.

A causa raiz foi a dependência de uma fonte de preço manipulável. Especificamente, o mercado USTRY/USDC na SDEX tinha liquidez extremamente baixa. O atacante eliminou ordens legítimas e inseriu ordens anormais, inflando artificialmente o preço do USTRY de aproximadamente $1,06 para $107. O Reflector subsequentemente atualizou seu feed de preços com esse valor manipulado, fazendo com que o pool de empréstimos supervalorizasse gravemente o colateral em USTRY. Aproveitando essa valorização inflada do colateral, o atacante forneceu um colateral mínimo em USTRY e tomou emprestado aproximadamente 1M de USDC e 61,2M de XLM em duas transações. Os ativos roubados foram então transferidos via bridge para Base, BSC e Ethereum.

É importante destacar que esse incidente não foi causado por uma vulnerabilidade no contrato, mas por uma falha de configuração no nível do operador do pool. Este caso ressalta a importância crítica de feeds de preços robustos e resistentes a manipulações para protocolos de empréstimo que dependem de Oráculos externos. Os operadores de protocolo devem exercer extrema cautela ao selecionar e monitorar continuamente as fontes de oráculos.

Ver análise técnica aprofundada

IoTex: ~$4.4M

Em 21 de fevereiro de 2026, a bridge ioTube da IoTeX sofreu uma violação de segurança, resultando em perdas superiores a $4,4 milhões.

A causa raiz foi o comprometimento da chave privada do proprietário do contrato Validator no lado Ethereum. Como a arquitetura da bridge concedia autoridade administrativa total a um único proprietário sem salvaguardas de múltiplas assinaturas ou timelock, o atacante conseguiu invocar a função upgrade() do contrato Validator para transferir a propriedade dos contratos TokenSafe e MintPool para um endereço controlado pelo atacante. O atacante então cunhou mais de 410M de CIOTX via MintPool e drenou aproximadamente $4,4M em ativos de reserva da bridge (USDC, USDT, WBTC, WETH, BUSD, etc.) do TokenSafe. De acordo com a equipe do projeto, aproximadamente 355M dos tokens CIOTX cunhados foram permanentemente bloqueados ou congelados até 26 de fevereiro.

Este incidente é um caso clássico de comprometimento de chave por ponto único de falha, ressaltando os riscos críticos do controle administrativo centralizado em arquiteturas de bridge entre cadeias. As equipes de projeto devem evitar concentrar privilégios críticos em uma única conta, especialmente para operações de alto risco, como atualizações de contratos, custódia de ativos e cunhagem de tokens.

CrossCurve: ~$2.8M

Em 2 de fevereiro de 2026, o protocolo de bridge CrossCurve foi explorado em múltiplas cadeias, incluindo Ethereum, Arbitrum e Optimism. O incidente resultou em perdas de aproximadamente $2,8 milhões.

A causa raiz foi que o contrato ReceiverAxelar expôs uma função expressExecute() sem permissão que contorna o processo de validação padrão do Axelar Gateway. No modelo de segurança pretendido pelo Axelar, as mensagens entre cadeias devem primeiro ser aprovadas pelo Gateway e depois validadas na cadeia de destino via validateContractCall(). No entanto, o caminho expressExecute() ignorava completamente esse processo, dependendo apenas de verificações de lista de permissões usando os parâmetros sourceChain e sourceAddress. Porém, ambos os parâmetros eram especificados pelo usuário e podiam ser falsificados pelo atacante. Ao criar uma mensagem forjada com um endereço de par incluído na lista de permissões, o atacante contornou todas as verificações de segurança e acionou a função unlock() no Eywa CLP Portal, liberando 999.787.453 tokens EYWA.

Este incidente demonstra que os caminhos de execução rápida devem aplicar as mesmas premissas de segurança, lógica de validação e garantias de controle de acesso que os fluxos de execução padrão. Qualquer otimização que enfraqueça o modelo de confiança canônico cria efetivamente uma brecha de segurança.

As informações acima são baseadas em dados até 00:00 UTC, 28 de fevereiro de 2026.

Este é o encerramento do boletim de incidentes de segurança de fevereiro.

Saiba mais em nossa Biblioteca de Incidentes de Segurança.

Mantenha-se informado e seguro!

Sign up for the latest updates
~$5,98M Perdidos: Aztec, Raydium e Mais | BlockSec Semanal
Security Insights

~$5,98M Perdidos: Aztec, Raydium e Mais | BlockSec Semanal

Relatório semanal de segurança blockchain (8-15 jun/2026): 4 incidentes no Ethereum e Solana, perdas de ~$5,98M. Destaques: Aztec Connect (validação ausente causou estados inconsistentes) e Raydium (falha no AMM v3 permitiu manipulação de LP tokens). Tipos: falta de validação, overflow e captura de governança.

Análise de Bug de Solidez do Zcash Orchard | BlockSec Semanal
Security Insights

Análise de Bug de Solidez do Zcash Orchard | BlockSec Semanal

Vulnerabilidade crítica no circuito Orchard do Zcash foi divulgada em junho de 2026: restrição ausente no gadget de multiplicação escalar halo2 permitia falsificação indetectável de ZEC. Existia há 4 anos, descoberta por IA (Opus 4.8) e corrigida via atualização emergencial NU6.2.

Boletim Informativo - Maio de 2026
Security Insights

Boletim Informativo - Maio de 2026

Em maio de 2026, o ecossistema DeFi sofreu três incidentes: Echo Protocol perdeu ~$76,7M por comprometimento de chave admin; StablR perdeu ~$12,8M por falha em multisig; a Bridge Verus-Ethereum perdeu ~$11,7M por falha de validação de tipo.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit