Top 3 Incidentes DeFi em Março
Resolv Protocol: ~$80M
Em 22 de março de 2026, o Resolv sofreu uma violação de segurança, resultando em perdas de $80M*.
A causa raiz foi o comprometimento de chaves de infraestrutura privilegiadas. Utilizando a chave roubada, o atacante abusou de um fluxo privilegiado de finalização de swap e cunhou mais de 80M de USR sem colateral equivalente em três transações de exploração. Embora a causa raiz fosse direta, esse incidente revelou uma falta mais ampla de controles de segurança, tanto on-chain quanto off-chain. O projeto não aplicava nenhuma validação estrita durante a aprovação de cunhagem, nem possuía estratégias de monitoramento para detectar e responder à violação a tempo.
Notavelmente, o impacto se estendeu muito além da cunhagem não autorizada de 80M em USR. Como os ativos da Resolv eram amplamente utilizados como colateral em múltiplos protocolos de empréstimo, o depeg desencadeou um contágio mais amplo. Conforme relatado pela Chaos Labs, curadores on-chain que utilizavam alocação automatizada em busca de rendimento não dispunham de controles de risco em tempo real e continuaram direcionando capital novo para mercados já comprometidos. O que começou como uma exploração localizada rapidamente escalou para um evento de contágio entre protocolos, deixando os protocolos de empréstimo com milhões em dívidas incobráveis.
*A perda é estimada com base no valor indexado de $1 do USR.
BitcoinReserveOffering: ~$2,7M
Em 5 de março de 2026, o contrato BitcoinReserveOffering na Ethereum foi explorado por aproximadamente $2,7M.
A causa raiz foi uma lógica de negócio falha na função mint(), que executava a lógica de cunhagem duas vezes ao processar um depósito completo de ERC-3525 SFT. Como o ERC-3525 herda do ERC-721, transferências seguras acionam um callback onERC721Received(). Dentro do callback, a quantidade de tokens BRO era calculada e cunhada para o chamador. No entanto, após o retorno do callback, o mint() externo retomava e realizava uma segunda operação de cunhagem, dobrando os BRO emitidos por depósito. Isso permitiu ao atacante inflar seu saldo de BRO por meio de ciclos repetidos de queima e cunhagem em uma transação de ataque.
Para evitar problemas semelhantes, os protocolos devem garantir que a contabilização de ativos ocorra exatamente uma vez por operação de depósito, com atualizações de estado confirmadas antes de qualquer chamada externa capaz de acionar um callback. Além disso, verificações de invariantes devem ser adicionadas para garantir que os valores cunhados nunca excedam o valor depositado subjacente.
Venus Protocol: ~$2,15M
Em 15 de março de 2026, o mercado THE (Thena) da Venus na BNB Chain sofreu um ataque de doação combinado com manipulação de mercado. Esse incidente resultou em aproximadamente $2,15M em dívidas incobráveis para o protocolo, enquanto o explorador incorreu em uma perda líquida on-chain de ~$4,7M.
A Venus é um protocolo de empréstimo baseado em fork do Compound V2. O mercado afetado utiliza THE como ativo subjacente, que possui liquidez on-chain reduzida. O ataque de doação foi possível porque o contrato do mercado deriva o totalCash a partir do saldo bruto do contrato. Isso permitiu ao atacante doar THE diretamente ao mercado, o que aumentou o totalCash e inflou o exchangeRate. Com esse colateral inflado, o atacante tomou emprestado ativos líquidos, trocou-os por mais THE e elevou o preço de mercado do THE. Os tokens THE obtidos foram ainda doados ao mercado, escalando continuamente o impacto do ataque.
Esse incidente serve como um alerta para os protocolos de empréstimo em duas frentes: lógica de contabilidade e configuração de risco. Os protocolos devem implementar mecanismos de contabilidade resistentes à manipulação que reflitam com precisão os valores dos ativos e não possam ser distorcidos por ataques de doação. Além disso, parâmetros de risco críticos, como limites de fornecimento, limites de empréstimo e taxas LTV (Loan-to-Value), devem ser cuidadosamente configurados para limitar a exposição do protocolo.
Para uma análise detalhada, leia nossa publicação aprofundada:
https://blocksec.com/blog/venus-thena-donation-attack
As informações acima são baseadas em dados até 00:00 UTC, 31 de março de 2026.
Isso conclui o resumo de incidentes de segurança de março. Para análises mais aprofundadas sobre incidentes de segurança em blockchain e tendências de segurança na Web3, você pode explorar nossos recursos.
Saiba mais em nossa Biblioteca de Incidentes de Segurança.
Mantenha-se informado e seguro!
