Tag: PeckShield

Ponte cross-chain digital hexagonal rachada com vazamento de energia vermelha, simbolizando hack na IoTeX por vazamento de chaves privadas

Hack na IoTeX: Ponte Cross-Chain Perde US$ 2 Milhões por Chaves Privadas

Publicado em | por Patrícia Prado | Deixe um comentário em Hack na IoTeX: Ponte Cross-Chain Perde US$ 2 Milhões por Chaves Privadas

A ponte cross-chain da IoTeX foi invadida por meio de um vazamento de chaves privadas, resultando em prejuízo de cerca de US$ 2 milhões em ativos como USDC, USDT, IOTX e WBTC. O incidente, confirmado pela equipe e analisado pela PeckShield, levou à pausa nos serviços de depósito e saque. A rede DePIN está segura, com recuperação prevista em 24 a 48 horas. Usuários precisam monitorar anúncios oficiais para evitar riscos adicionais. Sua carteira na IoTeX está exposta?

Detalhes do Ataque Sofisticado

O ataque à ponte da IoTeX foi obra de um grupo profissional que planejou a invasão por longo tempo, obtendo controle total sobre contratos inteligentes como TokenSafe e MinterPool. A PeckShield identificou a extração direta de fundos do cofre, com estimativas iniciais variando de US$ 430 mil a US$ 8,8 milhões — ajustadas para US$ 2 milhões após excluir tokens falsos sem valor, como CIOTX e CCS, que foram congelados.

Esse tipo de invasão destaca um padrão alarmante: em 2025, 88% das perdas no primeiro trimestre vieram de comprometimentos de chaves privadas. Quando o atacante vira ‘administrador’, não há limites lógicos impostos por código — o risco é total. A IoTeX já conteve o incidente e colabora com exchanges e autoridades para rastrear e congelar os fundos roubados.

Riscos Estruturais das Pontes Cross-Chain

É importante considerar que bridges cross-chain são historicamente o elo mais frágil nas blockchains. Casos como Ronin (US$ 625 milhões em 2022), Wormhole (US$ 320 milhões) e Multichain (US$ 126 milhões) mostram o padrão: o problema não está só no código auditado, mas na arquitetura. Alguém precisa gerenciar chaves privadas para validar transferências entre cadeias, criando um ponto único de falha.

O risco aqui é claro: mesmo com auditorias, se o dispositivo ou processo de gestão de chaves for invadido — via malware, phishing ou engenharia social —, tudo colapsa. Em 2026, ainda vemos esses vetores persistirem. Para redes DePIN como IoTeX, que integram IoT e finanças, essa vulnerabilidade pode comprometer ecossistemas inteiros. Atenção para sinais semelhantes em outros projetos.

O Que Fazer para Proteger Seus Fundos

Se você tem ativos na IoTeX, o primeiro passo é verificar saldos em exploradores como o oficial da rede ou PeckShield. Evite interagir com a ponte até o anúncio oficial de reabertura — pausas evitam perdas em cascata. Monitore o Twitter oficial da IoTeX (@iotex_io) e PeckShield para atualizações em tempo real.

Considere diversificar: não concentre fundos em bridges ou hot wallets. Use hardware wallets para chaves principais e ative 2FA em contas ligadas. Historicamente, respostas rápidas como essa da IoTeX recuperam confiança, mas lições de Bybit e HTX mostram que ‘recuperação’ exige vigilância pós-evento. Não ignore: revise suas exposições agora.

Plano de Recuperação e Lições Aprendidas

A IoTeX planeja restaurar operações de chain e depósitos/saques em 24 a 48 horas, após upgrades de segurança. A transparência — divulgando perdas e parcerias com autoridades — é positiva, mas o teste real virá com a prevenção de recorrências. Para investidores brasileiros, avalie o impacto em IOTX: quedas são comuns pós-hack, mas recuperações dependem de execução.

Esse episódio reforça: em cripto, risco de custódia privada supera exploits de código. Monitore, proteja e questione arquiteturas centralizadas em bridges. A proteção começa com informação precisa.

💰 Comece a investir em criptomoedas: Abra sua conta gratuita na Binance e acesse um dos maiores ecossistemas cripto do mundo.

📢 Este artigo contém links de afiliados. Ao se cadastrar através desses links, você ajuda a manter o blog sem custo adicional para você.

⚠️ Este conteúdo é informativo e não constitui recomendação de investimento. Faça sua própria pesquisa antes de tomar decisões financeiras.

Rede DeFi com orbe de price feed distorcido por flash vermelho de loan exploit, ilustrando vulnerabilidade em protocolo de segurança

Makina Finance Perde US$ 4,1 Milhões em Exploit de Flash Loan

Publicado em | por Patrícia Prado | Deixe um comentário em Makina Finance Perde US$ 4,1 Milhões em Exploit de Flash Loan

Um exploit de flash loan drenou US$ 4,1 milhões do protocolo DeFi Makina Finance, manipulando o price feed em um pool DUSD/USDC na Curve. O atacante usou um empréstimo de 280 milhões de USDC para distorcer o oráculo MachineShareOracle, permitindo saques inflados. Firmas como PeckShield e CertiK confirmaram o incidente, isolado a esse pool, ocorrido nesta terça-feira (20/01).

Como o Ataque Manipulou o Price Feed

O protocolo Makina, com cerca de US$ 100 milhões em TVL, foi vítima de uma clássica manipulação de oracle. Segundo a análise da PeckShield, o hacker pegou um flash loan de 280 milhões de USDC. Destes, usou 170 milhões para injetar liquidez temporária e inflar o preço reportado pelo MachineShareOracle ao pool DUSD/USDC, que tinha apenas US$ 5 milhões em liquidez.

Com o preço artificialmente alto, trocou 110 milhões de USDC por 1.299 ETH (equivalente a US$ 4,13 milhões), drenando o pool quase completamente. Essa tática explora a dependência de pools em dados externos de preços, vulneráveis a ataques em uma única transação.

MEV Bots Intervêm e Limitam o Lucro do Atacante

Embora a drenagem tenha ocorrido, um MEV builder front-runnou a transação, capturando a maior parte dos fundos roubados. Dos US$ 5 milhões drenados inicialmente, cerca de US$ 4,14 milhões foram para um endereço de MEV, deixando o atacante com valores menores em dois endereços: 0xbed2…dE25 (US$ 3,3 milhões) e 0x573d…910e (US$ 880 mil).

Isso ilustra o duplo fio da navalha no DeFi: exploits são comuns, mas bots de extração máxima de valor (MEV) podem mitigar danos ao capturar lucros ilícitos. Ainda assim, provedores de liquidez (LPs) no pool afetado sofrem perdas diretas.

Riscos no DeFi: O Que Verificar Antes de Depositar Liquidez

Flash loans são armas poderosas para manipulações, especialmente em pools de baixa liquidez. Antes de fornecer fundos, verifique:

  1. Robustez dos oracles (use agregadores como Chainlink);
  2. Auditorias recentes por firmas como PeckShield e CertiK;
  3. TVL e volume do pool para resistir a ataques;
  4. Mecanismos de pausa de emergência;
  5. Histórico de exploits semelhantes.

Evite pools com refresh de AUM permissionless, combo perigoso com flash loans. Monitore ferramentas como DeFiLlama e alertas de segurança para agir rápido.

Resposta da Makina e Lições para Investidores

A equipe da Makina ativou o security mode em todas as ‘máquinas’ (vaults inteligentes), confirmando que ativos subjacentes estão seguros. LPs foram orientados a retirar fundos do pool afetado na Curve. Atualizações virão conforme a investigação avança.

Este caso reforça: DeFi oferece yields altos, mas riscos assimétricos. Priorize protocolos auditados e diversifique. Em 2026, com TVL crescendo, vigilância é essencial para não zerar milhões por um erro de oracle.

💰 Proteja seus investimentos: Abra sua conta gratuita na Binance e acesse ferramentas avançadas de trading com menor risco que DeFi não auditado.

📢 Este artigo contém links de afiliados. Ao se cadastrar através desses links, você ajuda a manter o blog sem custo adicional para você.

⚠️ Este conteúdo é informativo e não constitui recomendação de investimento. Faça sua própria pesquisa antes de tomar decisões financeiras.