Back to Blog

Top 10 Incidentes de Segurança "Incríveis" em 2023

Phalcon Security
February 23, 2024
10 min read

Aqueles que não conseguem se lembrar do passado estão condenados a repeti-lo.

Em 2023, vimos muitos incidentes de segurança que causaram sérios prejuízos à comunidade. Foram tragédias para os afetados. No entanto, esses incidentes fornecem lições para alertar a comunidade de que a segurança deve ser uma prioridade.

Entre os incidentes, a BlockSec selecionou cuidadosamente dez casos excepcionais, cada um com um motivo único. Alguns foram repletos de grande drama; alguns apresentaram estratégias de ataque "inovadoras", alguns resultaram em perdas financeiras significativas, e alguns exploraram superfícies de ataque anteriormente desconhecidas.

Neste blog, ilustraremos os dez principais incidentes de segurança que merecem destaque em 2023 e seus motivos. Para cada incidente de segurança, também apresentaremos a causa raiz e as etapas do ataque em posts separados.

#1 Colhendo MEV Bots ao Explorar Vulnerabilidades no Flashbots Relay

Resumo

Em 3 de abril de 2023, um atacante aproveitou uma vulnerabilidade existente no Flashbots relay para atacar múltiplos MEV Bots, obtendo lucro de cerca de $20 milhões. A causa raiz deste ataque é que uma transação privada poderia ser vazada para o pool público sob certas condições, e o atacante poderia executar operações após a transação vazada para obter lucros.

Motivo da Seleção

O atacante usou métodos sofisticados para colher MEV Bots explorando uma vulnerabilidade zero-day do Flashbots, criando transações honeypot para atrair vítimas e implementando táticas para evitar detecção. Este é, até agora, o ataque mais sofisticado, que combina a vulnerabilidade na infraestrutura blockchain subjacente com uma estratégia de ataque alavancada que teve um impacto financeiro significativo.

🧐 Saiba mais sobre a causa raiz e as etapas do ataque em detalhes.

#2: Incidente Euler Finance: O Maior Hack de 2023

Resumo

Em 13 de março de 2023, a Euler Finance sofreu um ataque de flash loan em seu pool de empréstimos, resultando em perdas de quase $200 milhões. O ataque originou-se da função donateToReserves() que não possuía verificações de insolvência. Essa omissão permitiu que os atacantes contribuíssem com ativos de uma posição altamente alavancada, reduzindo a saúde da posição abaixo de 100% e incorrendo em dívidas incobráveis.

O design da Euler incorpora um fator de fechamento dinâmico para liquidações suaves, o que significa que quanto menor a saúde de uma posição, mais garantias são elegíveis para liquidação — até 75% em caso de dívida incobrável, com base nos dados deste incidente. A liquidação de garantias com desconto substancial, portanto, permitiu ao atacante liquidar o flash loan e garantir um lucro.

Motivo da Seleção

Um recorde de $197 milhões em fundos foi roubado por um argentino de 20 anos chamado Federico Jaime, que apresentou à mídia "uma narrativa tortuosa, às vezes confusa e até contraditória." No entanto, "todos os fundos recuperáveis" foram posteriormente devolvidos ao endereço do tesouro da Euler Finance. Porém, uma pequena parte deles (cerca de $200K) foi "inadvertidamente" enviada ao Grupo Lazarus — um suposto sindicato criminoso norte-coreano patrocinado pelo Estado e sancionado pelo Tesouro dos EUA.

🧐 Saiba mais sobre a causa raiz e as etapas do ataque em detalhes.

#3: Incidente KyberSwap: Exploração Magistral de Erros de Arredondamento com Cálculos Excepcionalmente Sutis

Resumo

Em 23 de novembro de 2023, houve uma série de ataques direcionados ao KyberSwap. Esses ataques resultaram em uma perda total de mais de $48 milhões. O problema fundamental originou-se da direção incorreta de arredondamento durante o processo de reinvestimento do KyberSwap. Isso subsequentemente levou a cálculos inadequados de tick e, por fim, à contagem dupla de liquidez.

Motivo da Seleção

Este ataque de 2023 se destaca por sua complexidade, apresentando cálculos excepcionalmente sutis e servindo como um exemplo claro dos muitos incidentes de segurança relacionados à precisão que testaram significativamente a comunidade. Além disso, após extensas negociações com as autoridades, o atacante emitiu uma mensagem de tom provocativo ao público, afirmando uma demanda por controle total sobre o protocolo.

🧐 Saiba mais sobre a causa raiz e as etapas do ataque em detalhes.

#4: Incidente Curve: Erro de Compilador Produz Bytecode Defeituoso a partir de Código-Fonte Inocente

Resumo

Em 30 de julho de 2023, uma série de explorações visou múltiplos pools da Curve, resultando em perdas de milhões de dólares. Foi um ataque típico de reentrância com uma causa raiz atípica, decorrente de um bug no compilador que levou à ausência de proteção contra reentrância. Especificamente, houve um erro no qual os bloqueios de reentrância para diferentes funções dentro de um contrato inteligente receberam slots de armazenamento distintos. Como resultado, contratos inteligentes compilados usando as versões 0.2.15, 0.2.16 e 0.3.0 do Vyper eram vulneráveis.

Motivo da Seleção

A vulnerabilidade originou-se do compilador, não do código-fonte. É a primeira vez que um bug de compilador levou a uma enorme perda financeira.

🧐 Saiba mais sobre a causa raiz e as etapas do ataque em detalhes.

#5: Incidentes Platypus Finance: Sobrevivendo a Três Ataques por Pura Sorte

Resumo

A Platypus Finance é um protocolo DeFi lendário que sobreviveu milagrosamente a três ataques sucessivos, conforme descrito a seguir:

  • Em 17 de fevereiro de 2023, sofreu um hack devido a uma verificação de solvência incorreta, resultando em uma perda total de cerca de $9,05M. Desse valor, $2,4M foram resgatados com a ajuda da BlockSec. Aproximadamente 380K tokens ficaram presos no contrato Aave e foram posteriormente devolvidos.
  • Em 12 de julho de 2023, foi hackeado, com cerca de $50K perdidos devido à ignorância da diferença de preço entre stablecoins.
  • Em 12 de outubro de 2023, sofreu ataques de manipulação de preço, com cerca de $2,2M perdidos. Após negociar com o explorador, 90% dos fundos roubados foram devolvidos.

Diz-se: "O destino de uma pessoa, é claro, depende de seus próprios esforços, mas também é preciso considerar o curso da história." Obviamente, o projeto teve sorte de sobreviver a todos esses ataques. Nossa análise dessas três explorações mostra que as falhas lógicas poderiam ser evitadas — com uma auditoria cuidadosa ou medidas de segurança mais ativas.

Motivo da Seleção

  • Sobreviver uma vez é difícil, mas fazê-lo três vezes deve ser considerado lendário.
  • O projeto foi atingido por três ataques distintos, cada um visando uma vulnerabilidade diferente.
  • As ações proativas da BlockSec ajudaram o projeto a resgatar $2,4M.

🧐 Saiba mais sobre a causa raiz e as etapas do ataque em detalhes.

#6: Incidente Hundred Finance: Catalisando a Onda de Explorações Relacionadas à Precisão em Protocolos Bifurcados Vulneráveis ao Longo de 2023

Resumo

Em 16 de abril de 2023, a Hundred Finance, um fork do Compound v2, foi atacada, resultando em uma perda de cerca de $6,8 milhões. O ataque envolveu duas causas raiz principais:

  • Um problema incorreto de arredondamento;
  • Mercados vazios que permitiram ao atacante manipular a taxa de câmbio.

Especificamente, o problema de precisão é explorado para afetar o resgate e a retirada de garantias. Mercados ou pools que não são inicializados adequadamente podem enfrentar uma escassez de liquidez, o que pode levar à manipulação e a um desequilíbrio de liquidez resultante entre o ativo subjacente e o token de participação correspondente (por exemplo, o cToken da Compound). Consequentemente, o preço do token de participação pode se inflar, permitindo que seja usado como garantia — com apenas uma quantidade mínima, ou ligeiramente superior, do ativo original — para tomar emprestado outros ativos subjacentes valiosos. Por fim, os atacantes conseguiram resgatar e retirar o ativo subjacente original devido a uma perda de precisão.

Este incidente na Hundred Finance, e um subsequente visando a HopeLend, um fork do Aave v2, revelaram um novo paradigma de explorações que poderia potencialmente atingir esses dois protocolos proeminentes e seus forks ao manipular as taxas de tokens LP. Posteriormente, uma série de ataques semelhantes foi observada.

Motivo da Seleção

A Hundred Finance, o primeiro fork do Compound V2 a sofrer um hack devido à perda de precisão, abriu caminho para uma série de violações de segurança semelhantes no DeFi. Além disso, este incidente pode ter catalisado a onda subsequente de ataques em protocolos bifurcados do Aave V2.

🧐 Saiba mais sobre a causa raiz e as etapas do ataque em detalhes.

#7: Incidente ParaSpace: Uma Corrida Contra o Tempo para Frustrar o Ataque Mais Crítico do Setor até Então

Resumo

Em 17 de março de 2023, devido a uma vulnerabilidade no oráculo de preços, a ParaSpace tornou-se alvo de um ataque hacker. Após três tentativas frustradas do hacker, o sistema BlockSec Phalcon interveio oportunamente, salvando mais de 5 milhões de dólares em ETH por meio de uma operação de resgate.

Motivo da Seleção

Bloco Mais Importante do Setor: mais de $5M resgatados pelo Sistema BlockSec Phalcon

🧐 Saiba mais sobre a causa raiz e as etapas do ataque em detalhes.

#8: Incidente SushiSwap: Uma Tentativa de Resgate Leva a uma Série de Ataques Cópias

Resumo

Em 9 de abril de 2023, a SushiSwap foi vítima de uma exploração causada por um Parâmetro Externo Não Verificado. O protocolo em si não foi afetado, mas os usuários que haviam concedido permissões ao contrato RouteProcessor2 foram os principais alvos. A natureza do ataque, que se concentrou em usuários com autorização ativa para o contrato e sua facilidade de replicação, levou a perdas substanciais para os usuários.

A BlockSec resgatou com sucesso 100 Ether e os devolveu à vítima. Um whitehat com o nome de usuário @trust__90 fez a primeira tentativa de resgatar os fundos, mas esse esforço infelizmente falhou. O método usado pelo whitehat era facilmente replicável e visava apenas salvar uma pequena parte do total de fundos em risco. Isso abriu caminho para que os atacantes executassem múltiplas transações cópias, drenando efetivamente a maior parte dos fundos.

Motivo da Seleção

  • A SushiSwap, que estava sob ataque, é um protocolo líder no Ethereum com uma grande base de usuários. O ataque teve um impacto amplo.
  • O resgate do whitehat infelizmente falhou, levando a vários ataques cópias. Isso levanta questões sobre como realizar um resgate whitehat e como gerenciá-lo corretamente.

🧐 Saiba mais sobre a causa raiz e as etapas do ataque em detalhes.

#9: MEV Bot 0xd61492: De Predador a Presa em uma Exploração de Flash Loan

Resumo

Em 3 de agosto de 2023, um MEV Bot na Arbitrum foi atacado, resultando em uma perda de $800K. A causa raiz deste ataque foi a Verificação Insuficiente de Entrada do Usuário. O atacante enganou o "Arbitrage MEV Bot" (0x8db0ef) para tomar emprestado do "Vault MEV Bot" (0xd61492), ativando assim o mecanismo de flash loan. Simultaneamente, o atacante, se passando por um provedor de flash loan, se apropriou de todos os ativos emprestados ao "Arbitrage MEV Bot" e obteve a aprovação do "Vault MEV Bot".

Considerando as interações intrincadas entre os MEV Bots e sua falta de verificação de código aberto, é intrigante como o atacante identificou e navegou por este caminho de exploração elaborado.

Motivo da Seleção

Os MEV Bots de arbitragem são frequentemente considerados um predador misterioso devido à sua natureza não open-source. Entender a lógica exata por trás desses MEV Bots pode ser desafiador. No entanto, a maioria deles utiliza flash loans para maximizar a taxa de utilização dos fundos, o que cria oportunidades para os atacantes. O hack do MEV Bot 0xd61492 é um caso real de exploração da interação entre o Bot e o provedor de flash loan.

As partes interessantes deste incidente incluem:

  • Primeiro, a vulnerabilidade oculta dentro das complexas funções de callback dos módulos do MEV Bot.
  • Segundo, contornar restrições no sistema de MEV Bot com múltiplos contratos.

🧐 Saiba mais sobre a causa raiz e as etapas do ataque em detalhes.

#10: Incidente ThirdWeb: Incompatibilidade Entre Módulos Confiáveis Expõe Vulnerabilidade

Resumo

Em 5 de dezembro de 2023, os contratos inteligentes da ThirdWeb foram relatados como vulneráveis. O problema é uma incompatibilidade envolvendo os padrões ERC-2771 e Multicall. O ERC-2771 define uma interface para receber meta-transações por meio de um encaminhador confiável, enquanto o Multicall permite agrupar múltiplas chamadas de função em uma única transação. A vulnerabilidade ocorre quando uma chamada, encaminhada por um encaminhador confiável, recupera o endereço do chamador real a partir dos calldata, que podem ser manipulados por um atacante. Embora cada padrão funcione corretamente por conta própria, seu uso combinado pode quebrar certas suposições e levar a problemas de segurança inesperados.

Motivo da Seleção

Tanto o ERC-2771 quanto os padrões Multicall são implementados em bibliotecas de desenvolvimento populares como OpenZeppelin e ThirdWeb. Os desenvolvedores frequentemente depositam confiança nessas bases de código bem estabelecidas e podem negligenciá-las durante as auditorias de código. Essa negligência pode introduzir novas vulnerabilidades de segurança, mesmo que os módulos individuais não sejam inerentemente defeituosos. Bibliotecas de terceiros desempenham um papel crucial na segurança de software, um fato que muitas vezes é ignorado.

🧐 Saiba mais sobre a causa raiz e as etapas do ataque em detalhes.

Conclusão

Neste post do blog, descrevemos dez incidentes de segurança significativos de 2023. Como diz a célebre frase, *"O que aprendemos com a história é que não aprendemos com a história." Isso continua sendo dolorosamente relevante, especialmente no contexto de incidentes de segurança. Esperamos que este blog, juntamente com as entradas subsequentes, permita que a comunidade aprenda de forma mais eficaz com incidentes passados e evite erros semelhantes no próximo ano.

Como fornecedor de serviços de segurança full-stack, a BlockSec sempre visa auxiliar a comunidade. A abordagem da BlockSec para a segurança de protocolos DeFi é abrangente. Empregamos técnicas de auditoria de última geração, ferramentas automatizadas de defesa contra ataques e gerenciamento de incidentes de segurança. Isso nos posiciona como um parceiro vital para protocolos que visam fortalecer sua postura de segurança e proteger os ativos dos usuários contra as ameaças em evolução no cenário DeFi de 2024.

Fique atento para mais blogs nesta série.

Leia outros artigos desta série:

Sign up for the latest updates
Boletim Informativo - Março de 2026
Security Insights

Boletim Informativo - Março de 2026

Em março de 2026, o ecossistema DeFi sofreu três incidentes de segurança: Resolv Protocol perdeu ~$80M por chaves comprometidas, BitcoinReserveOffering ~$2,7M por falha de dupla emissão, e Venus Protocol ~$2,15M por ataque de doação com manipulação de mercado.

Relatório de Crimes Cripto 2025: Principais Tendências e Dados On-Chain
Security Insights

Relatório de Crimes Cripto 2025: Principais Tendências e Dados On-Chain

Relatório de 67 páginas baseado em análise de dados e evidências on-chain, com casos reais detalhados, mostrando o panorama do crime em criptomoedas em 2025, incluindo principais características, estrutura e tendências do setor.

#1 Incidente Cetus: Um Único Shift Não Verificado Drena $223M no Maior Hack DeFi de 2025
Case Studies

#1 Incidente Cetus: Um Único Shift Não Verificado Drena $223M no Maior Hack DeFi de 2025

O Cetus Protocol, maior DEX de liquidez concentrada na Sui, foi explorado em 22/05/2025, resultando em ~$223M de prejuízo. O ataque explorou falha na checked_shlw(), causando truncamento silencioso em cálculos de liquidez e permitindo saques indevidos das reservas.

Get Real-Time Protection with Phalcon Security

Audits alone are not enough. Phalcon Security detects attacks in real time and blocks threats mid-flight.

phalcon security