Beosin：36 principais incidentes de segurança em maio, totalizando mais de 76 milhões de dólares em perdas

Escrito por: Beosin

De acordo com os dados de monitoramento da plataforma Beosin Alert, em maio de 2026, o valor total das perdas devido a diversos incidentes de segurança foi de aproximadamente 76,15 milhões de dólares, com um total de 36 grandes ataques de hackers ocorridos, sendo as principais causas vulnerabilidades em contratos e vazamento de chaves privadas. Dentre esses, 17 incidentes foram causados por vulnerabilidades em contratos/rede, e 10 por vazamento de chaves privadas, indicando que a segurança do código e operacional do ecossistema DeFi enfrenta desafios severos.

Top 10 protocolos com maiores perdas em maio

A ponte cross-chain Verus-Ethereum, que conecta a cadeia Verus L1 e Ethereum, foi atacada devido a uma vulnerabilidade no contrato, resultando na maior perda, de 11,58 milhões de dólares. O protocolo Echo foi atacado por vazamento de chave privada, permitindo que o invasor cunhasse 1000 eBTC (valor de mercado aproximadamente 76,7 milhões de dólares), mas devido à liquidez limitada, o lucro real final foi de cerca de 5,13 milhões de dólares.

Tipos de projetos atacados e perdas por cadeia

Os alvos dos ataques incluem pontes cross-chain, exchanges descentralizadas, protocolos de empréstimo, mercados de previsão, stablecoins, usuários comuns, entre outros, sendo que as pontes cross-chain tiveram o maior valor de perdas, chegando a 27,995 milhões de dólares. Os projetos relacionados a DeFi foram os mais atacados, com um total de 14 incidentes registrados.

A cadeia com maiores perdas em maio foi Ethereum, com perdas superiores a 48,76 milhões de dólares, e muitos incidentes de segurança em pontes cross-chain e protocolos DeFi continuam ocorrendo principalmente na Ethereum. Em seguida, vêm BNB Chain, Monad, TON, além de Monero e Bitcoin, indicando uma tendência de ataques multi-cadeia.

Análise dos principais incidentes de segurança

1. Verus: Defeito na validação de mensagens cross-chain

O funcionamento da ponte Verus-Ethereum baseia-se na submissão de provas pelos validadores, que demonstram que na cadeia Verus há uma saída válida confirmada por notário, e após a validação do contrato de ponte na Ethereum, os ativos são liberados. O problema está no fato de que o contrato de ponte na Ethereum, embora valide as provas da cadeia Verus, não verifica se os dados representam uma saída válida original, permitindo que atacantes criem saídas falsas que passam na validação, extraindo fundos muito além de seus depósitos.

Código vulnerável:

Este incidente é similar às vulnerabilidades que causaram perdas de 320 milhões de dólares na Wormhole em 2022 e 190 milhões na Nomad, ambas envolvendo contratos de ponte que validaram as mensagens, mas não verificaram o valor financeiro por trás delas.

2. Trusted Volumes: Defeito nos parâmetros de assinatura

O atacante utilizou uma falha no design de assinatura do processo de cotação (RFQ) do TrustedVolumes, ao realizar transferências, criando assinaturas personalizadas que configuraram o endereço do remetente como o contrato Resolver do TrustedVolumes, passando na verificação, e assim transferindo ativos do contrato Resolver para obter lucro.

Código vulnerável:

A verificação de autorização referencia a varg4, mas a execução da transferência de fundos usa outros parâmetros, sem validação adequada, causando discrepância entre o domínio do assinante autorizado e o endereço de débito real.

Assim, o atacante só precisa assinar uma ordem com o endereço do assinante registrado (maker = Exploit, validado por assinatura), enquanto outros parâmetros (token, valor) podem ser arbitrários, como uma ordem falsa 1:1, que passa na verificação de preço do oráculo, e então o atacante consegue retirar ativos do contrato:

3. Vazamento de chave privada no exemplo do StablR

Em maio, ocorreram múltiplos vazamentos de chaves privadas, com perdas totais superiores a 25 milhões de dólares. Entre eles, o StablR, como emissor de stablecoins regulamentadas, tornou-se um exemplo clássico de lição sobre segurança na emissão de stablecoins e no setor DeFi.

StablR lançou dois produtos de stablecoin regulamentada: EURR e USDR, sendo que a carteira multiassinatura que controla a emissão do EURR é 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc; e a que controla o USDR é 0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3.

Como as transações dessas duas carteiras multiassinatura requerem apenas uma assinatura, o atacante, controlando o endereço owner 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d, conseguiu adicionar o endereço 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 às duas carteiras, assumindo o controle da emissão de moedas do projeto:

Esse tipo de incidente não decorre de falhas no código, mas de problemas na segurança operacional do projeto: não guardar adequadamente as chaves privadas de privilégios, não usar múltiplas assinaturas de alto limiar para operações de alto valor, não implementar bloqueios de tempo para grandes operações de emissão, e falta de mecanismos de resposta rápida a emergências.

Tendências de ameaças à segurança Web3

Em 2026, a tendência mais profunda na segurança Web3 é a expansão sistemática da superfície de ataque. Vulnerabilidades aparecem simultaneamente no código, infraestrutura, interações e processos humanos, e confiar apenas em auditorias de segurança ou ferramentas não cobre áreas como segurança operacional, equipes, infraestrutura em nuvem e cadeia de suprimentos de software. Isso impõe requisitos mais elevados para a operação contínua e segura de projetos Web3.

Além disso, ataques frequentes a contratos antigos ou obsoletos, cujas vulnerabilidades ou autorizações podem ser facilmente exploradas por atacantes. Desenvolvedores e operadores de contratos devem revisar a segurança de contratos anteriores, tratar ou transferir fundos remanescentes de contratos desativados, e remover autorizações desnecessárias, incentivando os usuários a verificar e revogar autorizações não utilizadas usando exploradores de blockchain ou ferramentas de revogação.