Beosin：Principais incidentes de segurança de maio, 36 casos, com perdas totais superiores a 76 milhões de dólares

Escrito por: Beosin

De acordo com os dados de monitoramento da plataforma Beosin Alert, em maio de 2026, o valor total das perdas devido a vários incidentes de segurança foi de aproximadamente 76,15 milhões de dólares, com um total de 36 ataques hackers importantes, sendo a principal causa vulnerabilidades em contratos e vazamentos de chaves privadas. Destas, 17 incidentes foram causados por vulnerabilidades em contratos/rede, e 10 por vazamentos de chaves privadas, indicando que a segurança do código e a operação do ecossistema DeFi enfrentam desafios severos.

Top 10 protocolos com maiores perdas em maio

A ponte cross-chain Verus-Ethereum, que conecta a cadeia Verus L1 e Ethereum, foi atacada devido a uma vulnerabilidade no contrato, resultando na maior perda, de 11,58 milhões de dólares. O protocolo Echo foi atacado por vazamento de chave privada, permitindo ao atacante cunhar 1000 eBTC (valor de mercado aproximadamente 76,7 milhões de dólares), mas devido à liquidez limitada, o ganho real final foi de cerca de 5,13 milhões de dólares.

Tipos de projetos atacados e perdas por cadeia

Os alvos dos ataques incluem pontes cross-chain, exchanges descentralizadas, protocolos de empréstimo, mercados de previsão, stablecoins, usuários comuns, entre outros, sendo que as pontes cross-chain tiveram o maior valor de perdas, chegando a 27,995 milhões, e projetos relacionados a DeFi foram os mais atacados, com um total de 14 incidentes.

A cadeia com maiores perdas em maio foi Ethereum, com perdas superiores a 48,76 milhões de dólares, e muitos incidentes de segurança em pontes cross-chain e protocolos DeFi continuam a ocorrer principalmente em Ethereum. Em seguida, vêm BNB Chain, Monad, TON, além de Monero e Bitcoin, indicando uma tendência de ataques multi-cadeia.

Análise dos principais incidentes de segurança

1. Verus: Defeito na validação de mensagens cross-chain

A operação da ponte Verus-Ethereum funciona com o provimento de dados de prova pelo remetente, indicando que há uma saída qualificada confirmada por notário na cadeia Verus, e após validação do contrato da ponte, os ativos são liberados na Ethereum. A vulnerabilidade reside no fato de que o contrato de ponte na Ethereum, embora valide a prova da cadeia Verus, não verifica se os dados representam uma saída válida original, permitindo que atacantes criem saídas falsas que passam na validação, extraindo fundos muito além do valor depositado.

Código vulnerável:

Este incidente é similar às vulnerabilidades que causaram perdas de 320 milhões de dólares na Wormhole em 2022 e 190 milhões na Nomad, ambas envolvendo contratos que validaram a mensagem em si, mas não verificaram o valor financeiro por trás dela.

2. Trusted Volumes: Defeito nos parâmetros de assinatura

O atacante utilizou uma falha no design de assinatura no processo de RFQ (Request for Quote) do TrustedVolumes, ao fazer uma transferência personalizada, configurando o remetente como o contrato Resolver do TrustedVolumes e passando na validação, permitindo que o atacante transferisse ativos do contrato Resolver e obtivesse lucro.

Código vulnerável:

A verificação de autorização referencia a varg4, mas a execução da transferência de fundos usa outros parâmetros, sem validação, causando uma discrepância entre o domínio da assinatura autorizada e o endereço de débito real.

Assim, o atacante só precisa assinar uma ordem com o endereço do assinante registrado (maker = Exploit, validado por assinatura), enquanto outros parâmetros (tokens, valores) podem ser arbitrários, como uma falsa ordem 1:1, que passa na verificação de preço do oráculo, e então o atacante pode retirar ativos do contrato:

3. Vazamento de chave privada no caso do StablR

Em maio, ocorreram múltiplos vazamentos de chaves privadas, com perdas totais superiores a 25 milhões de dólares. Entre eles, o StablR, como emissor de stablecoins regulamentadas, tornou-se um exemplo clássico de lição sobre segurança na emissão de stablecoins e no setor DeFi.

StablR lançou dois produtos de stablecoin regulamentada: EURR e USDR, sendo que a carteira multiassinatura que controla a emissão do EURR é 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc; e a que controla o USDR é 0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3.

Como as transações dessas duas carteiras multiassinatura requerem apenas uma assinatura, o atacante, controlando o endereço owner 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d, conseguiu adicionar o endereço 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 às duas carteiras, assumindo o controle da emissão de moedas do projeto:

Este tipo de incidente não decorre de falhas no código, mas de problemas na segurança operacional do projeto: má gestão das chaves privadas de privilégios, ausência de múltiplas assinaturas com alto limiar para operações de alto valor, ausência de bloqueio de tempo para grandes operações de emissão, e falta de mecanismos de resposta rápida a emergências.

Tendências de ameaças à segurança Web3

Em 2026, a tendência mais profunda na segurança Web3 é a expansão sistemática da superfície de ataque. Vulnerabilidades aparecem simultaneamente no código, infraestrutura, interações e processos humanos, e confiar apenas em auditorias de segurança ou ferramentas não cobre áreas como segurança operacional, equipes, infraestrutura em nuvem e cadeia de suprimentos de software. Isso impõe requisitos mais elevados para a operação contínua e segura de projetos Web3.

Além disso, ataques frequentes a contratos antigos ou obsoletos, cujas vulnerabilidades ou autorizações podem ser facilmente exploradas por atacantes. Desenvolvedores e operadores de contratos devem revisar a segurança de contratos anteriores, e para contratos descontinuados, devem ser tomadas ações rápidas ou transferidos fundos remanescentes de forma segura, além de contactar os usuários para revogar autorizações desnecessárias. Os usuários também devem verificar periodicamente, usando exploradores de blockchain ou ferramentas de revogação de autorizações, e cancelar autorizações de contratos que não utilizam mais.