- Ataques expõem fragilidade crescente em oráculos e verificadores DeFi
- Falha simples permitiu empréstimos massivos com garantia mínima
- Protocolos perdem milhões enquanto investigações apontam possível ação interna
A onda recente de ataques expõe falhas graves em sistemas de preços on-chain, e especialistas alertam que a ameaça cresce rapidamente. Um hacker em série já roubou aproximadamente US$ 3,5 milhões, atacando diferentes plataformas de empréstimos. No caso mais recente, ele explorou uma configuração incorreta no oráculo da Ploutos Money, causando quase US$ 400 mil em perdas.
A empresa de segurança CertiK afirma que o projeto aparentemente removeu seu site e toda a presença nas redes sociais após o ataque. O movimento aumentou ainda mais as suspeitas da comunidade, que agora questiona a transparência do time.
Falha no Oráculo abriu caminho para empréstimos sem garantia
De acordo com a auditoria da BlockSec, a Ploutos Money utilizou indevidamente o feed de cotação BTC/USD da Chainlink para definir o preço do USDC, criando um desvio crítico. Assim, o invasor tomou 187 ETH oferecendo apenas oito USDC como garantia, uma falha que derrubou completamente o modelo de risco do protocolo.
A BlockSec também chamou atenção para o timing do ataque. O invasor agiu um bloco após a configuração ser alterada, o que sugere monitoramento contínuo da rede e possível conhecimento prévio do erro. Embora a empresa indique que o atacante apenas reagiu ao ajuste incorreto, muitas respostas nas redes levantam a hipótese de envolvimento interno.
O investigador anônimo Tanuki42 conectou o explorador a pelo menos outros quatro incidentes, incluindo dois ataques milionários contra a Moonwell.
Ataques se espalham enquanto oráculos e verificadores Zk falham
Na semana passada, a Moonwell perdeu US$ 1,8 milhão após outro oráculo mal configurado. O preço do cbETH caiu artificialmente para US$ 1,12, muito abaixo dos cerca de US$ 2.200 reais negociados no mercado. A falha surgiu após uma alteração no código desenvolvida por Claude Opus 4.6 e um colaborador da Moonwell, o que reacendeu o debate sobre riscos em integrações automáticas de IA.
Hoje, um ataque diferente atingiu a loteria privada FOOM CASH, baseada em Ethereum. O projeto perdeu US$ 1,6 milhão depois que seu verificador ZK apresentou falhas graves. Segundo a QuillAudits, o sistema permitiu que qualquer pessoa calculasse a equação de verificação sem segredo, tornando a proteção inútil. As perdas incluíram US$ 1,3 milhão no Ethereum e US$ 316 mil na Base.
Um problema parecido atingiu o protocolo de privacidade Veil.Cash na Base na semana passada. O impacto foi menor, somando 4,5 ETH, mas parte dos fundos retornou após ação rápida dos hackers éticos da Decurity, que recuperaram 2 ETH.
Os ataques recentes mostram que erros mínimos em oráculos e verificadores criptográficos continuam abrindo brechas profundas, e os especialistas defendem auditorias mais rígidas antes de qualquer implementação on-chain.
