Top 3 Incidentes DeFi em Janeiro
Truebit Protocol: ~$26M
Em 8 de janeiro de 2026, o Truebit Protocol na Ethereum foi explorado, resultando em aproximadamente $26 milhões em perdas. Este incidente ressalta a importância crítica de uma segurança robusta em contratos inteligentes.
A causa raiz foi uma vulnerabilidade de estouro de inteiro na função de precificação de compra de tokens TRU. O contrato foi compilado com Solidity v0.6.10, que não aplica verificações de estouro por padrão. O atacante criou parâmetros de entrada que fizeram com que um grande valor intermediário no cálculo do custo de compra transbordasse e se convertesse em um número muito menor. Isso permitiu que o atacante comprasse grandes quantidades de tokens TRU com custo mínimo ou até zero de ETH.
O atacante realizou múltiplas rodadas de arbitragem dentro de uma única transação de ataque, executando repetidamente operações de compra e venda de tokens TRU. Notavelmente, o protocolo havia projetado intencionalmente uma assimetria de preços entre compra e venda para evitar arbitragem imediata de compra e venda. No entanto, o contrato vulnerável foi implantado usando uma versão desatualizada do Solidity sem proteção contra estouro, expondo a superfície de ataque e, por fim, levando à drenagem de 8.535 ETH das reservas do protocolo.
Leia a análise detalhada do ataque
Proteja seu dApp com a Auditoria de Contratos Inteligentes da BlockSec
Não deixe que vulnerabilidades como estouros de inteiro ameacem seu protocolo. Nossa equipe especializada realiza auditorias completas de contratos inteligentes para identificar e mitigar riscos antes que se tornem explorações custosas.
Melhor Auditor de Segurança para Web3
Valide design, código e lógica de negócios antes do lançamento
SwapNet & Aperture: ~$17M
Em 25 de janeiro de 2026, SwapNet e Aperture Finance sofreram ataques decorrentes de uma vulnerabilidade compartilhada, resultando em aproximadamente $17 milhões em perdas totais. O ataque impactou significativamente os usuários do Matcha Meta, com fundos afetados superiores a $13 milhões.
Embora ambos os contratos afetados fossem de código fechado, os caminhos do ataque puderam ser reconstruídos analisando o bytecode decompilado juntamente com os rastros de transações on-chain. A causa raiz foi a validação insuficiente de entradas cruciais do usuário dentro de funções vulneráveis, permitindo que os atacantes executassem chamadas arbitrárias com parâmetros maliciosos. Em uma série de transações de ataque, os atacantes construíram invocações de ERC20 transferFrom() para drenar tokens de usuários que haviam previamente concedido permissões de token aos contratos vulneráveis. Isso destaca um risco de segurança comum no DeFi.
Ambos os protocolos envolvidos neste ataque não disponibilizaram seu código como open-source, dificultando que a comunidade identificasse vulnerabilidades de segurança por meio de revisão pública. Enquanto isso, a abordagem de ataque baseada em permissões serve como um alerta para o setor: os usuários devem gerenciar cuidadosamente suas permissões de token, enquanto os protocolos devem implementar mecanismos de proteção, como aprovações com bloqueio de tempo ou com limite, para mitigar fundamentalmente os riscos de tais ataques.
Phalcon Security: Monitoramento de Ameaças em Tempo Real e Prevenção de Ataques
Fique à frente de ataques sofisticados como os que ocorreram na SwapNet e Aperture. O Phalcon Security fornece monitoramento em tempo real e alertas para atividades on-chain suspeitas, ajudando você a detectar e prevenir explorações.
Saga: ~$7M
Em 21 de janeiro de 2026, o SagaEVM no ecossistema Saga foi explorado, resultando em cunhagem não autorizada de tokens e uma perda de aproximadamente $7 milhões. Este incidente ressalta a importância de uma segurança robusta de blockchain em todas as camadas.
Embora a causa raiz ainda não tenha sido totalmente divulgada, fontes oficiais confirmaram que uma vulnerabilidade compartilhada no código do Ethermint e CosmosEVM, herdada pelo SagaEVM, levou ao ataque. O atacante implantou contratos inteligentes maliciosos para executar a exploração, cunhando uma quantidade substancial de Saga Dollars. Após o ataque bem-sucedido, quase todos os fundos roubados foram rapidamente transferidos para a rede Ethereum por meio de pontes cross-chain.
Este incidente destaca os riscos da herança de código em ecossistemas blockchain. Quando existem vulnerabilidades em bases de código fundamentais, todos os projetos que herdam esse código podem enfrentar as mesmas ameaças, criando vulnerabilidades de segurança em cascata. Auditorias de infraestrutura abrangentes são cruciais para esses ecossistemas.
As informações acima são baseadas em dados de 00:00 UTC, 31 de janeiro de 2026.
Isso conclui o resumo de incidentes de segurança de janeiro. Para análises mais aprofundadas de incidentes de segurança em blockchain e tendências de segurança na Web3, você pode explorar nossos recursos.
Você pode saber mais em nossa Biblioteca de Incidentes de Segurança.
Mantenha-se informado e seguro!
