- Transit Finance perdeu cerca de US$ 1,88 milhão em exploit identificado pela PeckShield
- Ataque mira agregador cross-chain e expande perdas do setor em 2026
- Protocolo ainda não divulgou post-mortem técnico nem plano de ressarcimento
A Transit Finance, protocolo descentralizado de agregação cross-chain, foi alvo de um novo exploit que drenou aproximadamente US$ 1,88 milhão de seus contratos. O ataque ocorreu em 13 de maio e foi sinalizado pela empresa de segurança blockchain PeckShield, que monitora movimentações suspeitas em tempo real.
Até a publicação desta matéria, a equipe do projeto não divulgou um relatório técnico detalhado nem apresentou cronograma para eventual ressarcimento dos usuários afetados. Também não há confirmação pública sobre se os contratos comprometidos foram pausados.
O caso engrossa uma lista que já preocupa auditores, agregadores e bridges seguem como o elo mais frágil das finanças descentralizadas. A arquitetura cross-chain depende de permissões amplas em carteiras de roteamento, mensagens entre redes e contratos que validam transferências entre múltiplas blockchains cada camada adicional é uma superfície de ataque a mais.
Padrão de ataques se repete em 2026
Dados consolidados pela própria PeckShield mostram que apenas em março de 2026 foram contabilizados 20 incidentes relevantes, com perdas próximas de US$ 52 milhões. O número representa alta de 96% sobre fevereiro, quando o prejuízo somou US$ 26,5 milhões. A firma de auditoria descreveu o fenômeno como um efeito de “contágio em sombra”, em que um exploit derruba múltiplos protocolos interligados por liquidez compartilhada.
O cenário não é novo. No primeiro trimestre de 2025, hackers já haviam levado mais de US$ 1,63 bilhão em criptoativos, puxados pelo episódio recorde envolvendo a Bybit. Em abril de 2026, a ponte da Kelp DAO, baseada em LayerZero, perdeu cerca de US$ 292 milhões após um atacante forjar uma mensagem cross-chain maliciosa. Acumulado até o fim daquele mês: pelo menos 68 incidentes e cifras próximas de US$ 1,08 bilhão.
Lavagem dos valores roubados segue um roteiro previsível. Mixers como o Tornado Cash e roteadores entre redes como o THORChain aparecem em quase todos os relatórios recentes. Em fevereiro, atacantes movimentaram 6.300 ETH equivalentes a cerca de US$ 19,4 milhões pelo Tornado Cash após drenar uma carteira multisig. A confirmação dos dados está em monitoramento público da PeckShield no X.
Impacto para usuários brasileiros
Para o investidor que opera no Brasil, o ponto sensível é o uso indireto desses agregadores. Carteiras como MetaMask, Rabby e Trust frequentemente roteiam swaps por agregadores cross-chain sem que o usuário perceba qual contrato está aprovando. Aprovações “unlimited” concedidas a roteadores antigos da Transit Finance podem virar vetor de drenagem mesmo em carteiras que não interagem mais com o protocolo.
A recomendação prática é revisar permissões ativas em ferramentas como Revoke.cash e revogar acessos a contratos que não estejam em uso. O alerta ganha relevância no Brasil porque o arcabouço regulatório local ainda não obriga exchanges a alertarem clientes sobre exploits em protocolos DeFi conectados às suas pontes de saque.
A Ethereum Foundation tem buscado mitigar esse tipo de risco com iniciativas como o padrão Clear Signing, que pretende eliminar aprovações cegas em hardware wallets. Enquanto a adoção do ERC-7730 não se generaliza, exploits do tipo registrado na Transit Finance tendem a continuar.
Agregadores cross-chain na mira
A Transit Finance já havia sido alvo de um ataque em outubro de 2022, quando perdeu cerca de US$ 23 milhões em uma falha de verificação de chamada interna de contrato. Naquela ocasião, o atacante devolveu parte significativa dos fundos após negociação, desfecho raro nos exploits registrados em 2026.
Casos recentes ilustram a dinâmica, o atacante identificado como TrustedVolumes moveu nesta semana cerca de US$ 278 mil em ativos pelo Tornado Cash e pelo THORChain. Outros protocolos do segmento, como mostrado no incidente da Huma Finance na Polygon, vêm sofrendo ataques menores e recorrentes em contratos legados que continuam acessíveis após upgrades.
Pesquisadores de segurança apontam que o desenho atual da interoperabilidade entre redes incentiva ataques rápidos e de baixa rastreabilidade. Sem padronização nas validações de mensagens entre blockchains, cada novo agregador adiciona uma porta para hackers especializados em explorar diferenças mínimas entre implementações.
