Back to Blog

Revisão Mensal de Segurança: Março 2024

April 1, 2024
4 min read

Segurança em Destaque 👀

Em março de 2024, exploits em DeFi resultaram em perdas de aproximadamente $81 milhões. Felizmente, graças aos esforços de todas as partes envolvidas, a maior parte dos fundos foi recuperada ou negociações estão em andamento.

  • Incidente de Exploit no PrismaFi

Em 28 de março, o PrismaFi na Ethereum foi atacado, resultando em uma perda de ~$11M. A causa raiz foi Entrada de Usuário Não Verificada. Notavelmente, o ataque foi realizado em mais de 10 transações, com 2 atacantes imitadores. A equipe do projeto conseguiu pausar o contrato via multisig após mais de 90 minutos do primeiro ataque. Usar o Phalcon para implementar uma pausa de emergência com assinatura única durante esse ataque poderia ter reduzido significativamente as perdas.

O atacante principal expressou disposição em devolver os fundos, e as negociações com a equipe do projeto ainda estão em andamento. Confira os chats de negociação.

  • Incidente Munchables

Em 27 de março, os ativos do Munchables na Blast L2 foram drenados em $62M. Este incidente foi causado por uma atualização maliciosa implementada pelos desenvolvedores (o contrato não era de código aberto). Felizmente, a equipe do projeto e o time central da Blast L2 tomaram providências, e o desenvolvedor devolveu os fundos. Atualmente, todos os fundos estão em uma Safe{wallet} controlada pelo Time Central da Blast L2.

Declaração de Custódia; Linha do Tempo; Clique aqui para saber mais sobre o incidente.

  • Incidente de Exploit no ParaSwap

De 19 a 21 de março, vários usuários do ParaSwap foram atacados, com perdas totais de pelo menos $300K. A causa raiz foi um Problema de Controle de Acesso. Vale mencionar que o atacante principal devolveu 90% dos ativos.

  • Incidente de Exploit no Unizen

Em 08 de março, o Unizen na Ethereum e na Polygon sofreu um exploit resultando em uma perda de $2,8 milhões. A causa raiz foi um problema de Entrada de Usuário Não Verificada. Os usuários de DeFi devem verificar regularmente suas aprovações e permanecer vigilantes!

Além disso, whitehats enviaram uma transação de resgate na Polygon por meio do RPC Semi-Privado da bloXroute, mas a transação de resgate foi enviada ao mempool e sofreu front-run por bots de MEV, gerando controvérsia. Leia mais sobre isso.

  • Incidente de Exploit no Token TGBS

Em 06 de março, o Token TGBS na BSC sofreu um exploit resultando em uma perda de $150K. Curiosamente, as alterações feitas pelo proprietário apenas uma hora antes desencadearam o ataque, portanto pode ser mais um rug pull. Veja o alerta

  • Incidente de Exploit no WooFi

Em 05 de março, o WooFi na Arbitrum sofreu um exploit resultando em uma perda de $8,75 milhões. A causa raiz foi um problema de Dependência de Preço Vulnerável. O mercado de empréstimos do WooFi foi explorado porque o preço do $Woo foi manipulado para ficar extremamente baixo, permitindo que o explorador tomasse grandes quantidades de $Woo emprestadas via flashloan e as reembolsasse facilmente.

Embora seu mecanismo de preços utilizasse o oráculo da Chainlink para verificação de preços, a Chainlink na Arbitrum não fornecia o preço do $Woo, falhando em prevenir o ataque. Leia o relatório post-mortem

👉 Você pode visualizar as transações de ataque, a causa raiz e o PoC dos incidentes acima em nossa Lista de Incidentes de Segurança.

Artigos do Blog & Vídeo

Como as cadeias L2 podem implementar diversas medidas para aumentar a segurança dos principais protocolos e proteger os ativos dos usuários na cadeia.

Proteja o ciclo de vida completo do seu protocolo com a BlockSec. Desde auditorias de segurança pré-lançamento até monitoramento e bloqueio de ataques pós-lançamento (Phalcon), nós cuidamos de tudo.

O CEO da BlockSec, Yajin Zhou, sobe ao palco na Open Information House @ ETHDenver 2024 para fazer um discurso fundamental intitulado "BlockSec & a Vanguarda da Segurança."

Não perca esta oportunidade para uma discussão envolvente e esclarecedora que promete mudar a forma como você pensa sobre segurança em blockchain.

Parceria

O explorador de blockchain Blockscout integrou os rótulos de endereço do MetaSuites (Ethereum, Polygon, Gnosis, Optimism e Base) e o recurso de explicação de transações com tecnologia GPT (Ethereum), além de ter adicionado acesso rápido ao Phalcon Explorer. 🎉🎉

Novo Site, Novo Capítulo

Novidades empolgantes – demos ao nosso site uma reformulação completa!

Na BlockSec, estamos aqui para te apoiar, garantindo que seus protocolos estejam seguros em cada etapa, desde o pré-lançamento até o pós-lançamento! Clique aqui para explorar.

Sign up for the latest updates
~$5,98M Perdidos: Aztec, Raydium e Mais | BlockSec Semanal
Security Insights

~$5,98M Perdidos: Aztec, Raydium e Mais | BlockSec Semanal

Relatório semanal de segurança blockchain (8-15 jun/2026): 4 incidentes no Ethereum e Solana, perdas de ~$5,98M. Destaques: Aztec Connect (validação ausente causou estados inconsistentes) e Raydium (falha no AMM v3 permitiu manipulação de LP tokens). Tipos: falta de validação, overflow e captura de governança.

Sanções do OFAC ao Cartel de Sinaloa: Rastreamento de Fundos On-Chain

Sanções do OFAC ao Cartel de Sinaloa: Rastreamento de Fundos On-Chain

Rede do Cartel de Sinaloa sancionada pelo OFAC por lavagem de recursos do fentanil. Rastreamos os seis endereços sancionados com MetaSleuth; o dinheiro flui quase inteiramente por depósitos em exchanges centralizadas.

Análise de Bug de Solidez do Zcash Orchard | BlockSec Semanal
Security Insights

Análise de Bug de Solidez do Zcash Orchard | BlockSec Semanal

Vulnerabilidade crítica no circuito Orchard do Zcash foi divulgada em junho de 2026: restrição ausente no gadget de multiplicação escalar halo2 permitia falsificação indetectável de ZEC. Existia há 4 anos, descoberta por IA (Opus 4.8) e corrigida via atualização emergencial NU6.2.