Recentemente, surgiu um caso interessante na análise de segurança. Um contrato relacionado ao staking do ListaDAO foi alvo, mas não por um bug simples, e sim por uma vulnerabilidade escondida no design da lógica.

De acordo com o relatório da GoPlus Security, houve um ataque ao contrato do Liquid Staking Vault, e o atacante aproveitou a funcionalidade de cálculo de participação do contrato Dividend. Quando certos tokens eram enviados, essa função de cálculo era acionada, interferindo na lógica de distribuição de recompensas do cofre de staking, permitindo que o atacante conseguisse retirar uma grande quantidade de ativos.

O que merece atenção é que o problema na lógica existia tanto no lado do Liquid Staking Vault quanto no do contrato Dividend. Ou seja, projetos que copiaram essa implementação ou que criaram projetos derivados com design semelhante podem estar expostos ao mesmo risco. A possibilidade de exploração maliciosa é considerada bastante alta.

Como recomendação para as equipes de desenvolvimento, ficou claro que a importância da auditoria é fundamental. Não se deve confiar apenas em uma auditoria pontual, mas sim na verificação contínua de segurança e na revisão do design das lógicas relacionadas ao staking. A segurança de contratos inteligentes não termina com uma única auditoria; é necessário monitorar constantemente, e esse caso reforça essa ideia.