Back to Blog

Incidente do YieldBlox DAO na Stellar: Configuração Incorreta de Oráculo Permitiu Drenagem de Mais de $10M

Code Auditing
February 26, 2026
4 min read

Em 22 de fevereiro de 2026, um pool de empréstimos operado pela YieldBlox DAO no Blend V2 da Stellar foi explorado, resultando em perdas superiores a $10 milhões.

O atacante manipulou o mercado USTRY/USDC na SDEX. O caminho do oráculo Reflector configurado pelo pool aceitou o preço manipulado, supervalorizou o colateral USTRY e permitiu que o atacante drenasse os ativos do pool (USDC e XLM).

Este incidente não foi um problema no contrato principal do Blend V2. Foi um problema de configuração do operador do pool (YieldBlox DAO).

2. Contexto

Na Stellar, o Blend V2 é um protocolo de liquidez que permite aos usuários criar pools de empréstimos isolados. Cada pool define seus próprios ativos de empréstimo, ativos de colateral e configurações de oráculo.

Neste incidente, o pool afetado permitia que os usuários tomassem emprestado XLM e USDC usando USTRY como colateral. O pool utilizava o oráculo Reflector [2], e o preço do USTRY era obtido do mercado USTRY/USDC na SDEX [3], com atualizações periódicas.

3. Análise de Vulnerabilidade (Análise de Causa Raiz)

A exploração foi possibilitada por um design de precificação do pool que dependia de um mercado manipulável.

  1. O mercado USTRY/USDC na SDEX era muito raso.
  2. O atacante conseguiu eliminar ordens normais e colocar ordens anormais para elevar drasticamente o preço aparente de mercado.
  3. O Reflector então atualizou o USTRY para o valor manipulado.
  4. A lógica de risco do pool aceitou esse valor para avaliação do colateral, o que inflou o poder de empréstimo.

Como resultado, o atacante usou o colateral USTRY supervalorizado para drenar os ativos disponíveis para empréstimo do pool.

4. Análise do Ataque

  1. (Tx 1, 2) O atacante manipulou o USTRY na SDEX de aproximadamente $1,06 para aproximadamente $107, consumindo liquidez normal e colocando ordens anormais.
  1. (Tx 3) O Reflector obteve o preço manipulado da SDEX e atualizou seu feed.
  1. (Tx 4, 5) O atacante tomou emprestado 1.000.196e7 USDC com colateral de 12.881e7 USTRY.
  1. (Tx 6, 7) O atacante tomou emprestado 6.124.927.810e7 XLM com colateral de 14.987.610e7 USTRY.
  1. (Tx 8, 9, 10) O atacante transferiu os ativos drenados para Base, BSC e Ethereum via bridge.

5. Análise de Perdas/Lucros

A perda total estimada foi de aproximadamente $10M+ na Stellar.

ID Rede Ação Perda Hash(es) da Tx
1 Stellar Manipulação de Preço - 09e1a9d1197c9bf0af4e87da328c4f2d5eb49b487630aa61991fb5c1c4637cdb
2 Stellar Manipulação de Preço - 60fe039e96e88402d175c8de68e80651874ab125880dd384a1636914ba95bef1
3 Stellar Atualização de Preço - 56466ad66cd5c49a251b9f1c7c0cf6b1b2f62d121b58ff856e2b43673b22be51
4 Stellar Fornecimento 1 - b810ba4a8d7547bb024f17b58c32cc644533176206d0f8178d4ba0a545cb7597
5 Stellar Empréstimo 1 $1M (1M USDC) ae721cacee382bdecac8d2c47286ecd42cb4711f658bb2aec7cba60dc64a31ff
6 Stellar Fornecimento 2 - 81f304ae627ba294df0f9c0708a58a2fe770b39d65f8cd0efe1d7d6d6cc885a6
7 Stellar Empréstimo 2 $9,85M (61,2M XLM) 3e81a3f7b6e17cc22d0a1f33e9dcf90e5664b125b9e61f108b8d2f082f2d4657
8 Stellar Bridge para Binance Smart Chain - 1210ccb583c174e0ecb3cdc56adbc59a06d73b7ebcb07b7e9a1c0c371b9f00e3
9 Stellar Bridge para Base - primeiro: 3fba5c384763349b74c7bfece148eb12600b161faf3382ba9c1f5f0fe76d52f5, último: df6129cce16edc7800a4199edb9d2ef2f3e6bfc9d3f44d6e29b3ab20c8dc1714 (15 no total)
10 Stellar Bridge para Ethereum - primeiro: 4012e2d140ea493de8d8abe5cc2ddd9e7d7f6661594d53fef5d0cfc26e1c7f0b, último: f383fedb28dae42a6d8d8aab77de81d0645c67e57d3f6bc10683f659d229cce6 (16 no total)
Rede Tipo Endereço
Stellar Atacante GBO7VUL2TOKPWFAWKATIW7K3QYA7WQ63VDY5CAE6AFUUX6BHZBOC2WXC
Stellar Atacante GCNF5GNRIT6VWYZ7LXUZ33Q3SR2NUGO32F5X65VVKAEWWIQCKGYN75HB
Stellar Atacante GDHRCQNC64UVL27EXSC6OG6I2FCT4NWM72KNHLHKEB3LK4MEEYYWETN3
Stellar Atacante GATDQL767ZM2JQTBEG4BQ5WKOQNGAGWZDUN4GYT2UINPEU3RT2UAMVZH
Stellar Oráculo Reflector CALI2BYU2JE6WVRUFYTS6MSBNEHGJ35P4AVCZYF3B6QOE3QKOB2PLE6M
Stellar Pool Vítima CCCCIQSDILITHMM7PBSLVDT5MISSY7R26MNZXCX4H7J5JQ5FPIYOGYFS
BSC, Base, Ethereum Atacante 0x2d1ce29b4af15fb6e76ba9995bbe1421e8546482
Ethereum Atacante 0x0b2b16e1a9e2e9b15027ae46fa5ec547f5ef3ec6
Ethereum Atacante 0xe69f6d77db6ff493fdd15d8a0b390c36e18e5b21

6. Conclusão

O problema central é direto: a avaliação do colateral neste pool dependia de uma fonte de preço manipulável. Isso foi uma falha de configuração do operador do pool (YieldBlox DAO), e não uma falha no contrato principal do Blend V2. Este incidente é um lembrete de que os pools de empréstimos devem selecionar e monitorar as dependências de preço com forte resistência à manipulação.

Referências

[1] YieldBlox DAO

[2] https://reflector.network/

[3] Mercado USTRY/USDC na SDEX

Sobre a BlockSec

A BlockSec é uma provedora completa de segurança em blockchain e conformidade cripto. Desenvolvemos produtos e serviços que ajudam nossos clientes a realizar auditorias de código (incluindo contratos inteligentes, blockchain e carteiras), interceptar ataques em tempo real, analisar incidentes, rastrear fundos ilícitos e cumprir obrigações de AML/CFT, ao longo de todo o ciclo de vida de protocolos e plataformas.

A BlockSec publicou múltiplos artigos de segurança em blockchain em conferências de prestígio, reportou vários ataques de dia zero em aplicações DeFi, bloqueou múltiplos ataques para resgatar mais de 20 milhões de dólares e protegeu bilhões em criptomoedas.

Sign up for the latest updates
~$5,98M Perdidos: Aztec, Raydium e Mais | BlockSec Semanal
Security Insights

~$5,98M Perdidos: Aztec, Raydium e Mais | BlockSec Semanal

Relatório semanal de segurança blockchain (8-15 jun/2026): 4 incidentes no Ethereum e Solana, perdas de ~$5,98M. Destaques: Aztec Connect (validação ausente causou estados inconsistentes) e Raydium (falha no AMM v3 permitiu manipulação de LP tokens). Tipos: falta de validação, overflow e captura de governança.

Análise de Bug de Solidez do Zcash Orchard | BlockSec Semanal
Security Insights

Análise de Bug de Solidez do Zcash Orchard | BlockSec Semanal

Vulnerabilidade crítica no circuito Orchard do Zcash foi divulgada em junho de 2026: restrição ausente no gadget de multiplicação escalar halo2 permitia falsificação indetectável de ZEC. Existia há 4 anos, descoberta por IA (Opus 4.8) e corrigida via atualização emergencial NU6.2.

Boletim Informativo - Maio de 2026
Security Insights

Boletim Informativo - Maio de 2026

Em maio de 2026, o ecossistema DeFi sofreu três incidentes: Echo Protocol perdeu ~$76,7M por comprometimento de chave admin; StablR perdeu ~$12,8M por falha em multisig; a Bridge Verus-Ethereum perdeu ~$11,7M por falha de validação de tipo.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit