Contratos DeFi não verificados estão ligados a perdas de US$ 36,7 milhões, revela Chainalysis

Contratos inteligentes não verificados foram associados a perdas de pelo menos US$ 36,7 milhões em quatro ataques de DeFi nos últimos seis meses, à medida que os atacantes visam cada vez mais protocolos cujo código-fonte não está disponível publicamente, de acordo com a Chainalysis.

O incidente mais grave envolveu a Truebit, que perdeu US$ 26,2 milhões depois que um invasor explorou uma vulnerabilidade de estouro de inteiro em um contrato que permanecia sem verificação no Ethereum desde 2021. Os outros incidentes envolveram a Trusted Volumes, a Aperture Finance e a Ekubo, de acordo com o relatório.

Em todos os casos, o contrato explorado não havia sido verificado em um explorador de blockchain, o que significa que seu código-fonte não estava disponível publicamente para revisão. De acordo com a Chainalysis, isso limitou a análise por parte de pesquisadores de segurança e excluiu os contratos de muitos programas de recompensa por bugs, apesar de controlarem fundos de usuários.

Protocolos apresentaram vulnerabilidades em contratos inteligentes não verificados. Fonte: Chainalysis

A Chainalysis atribuiu essa tendência, em parte, aos avanços em ferramentas de descompilação e inteligência artificial, que podem ajudar os atacantes a fazer engenharia reversa do bytecode de contratos inteligentes e identificar vulnerabilidades mesmo quando o código-fonte não está disponível publicamente. De acordo com o relatório, o que antes exigia "um engenheiro reverso qualificado que dedicava dias a um único contrato" agora pode ser parcialmente automatizado em um grande número de contratos não verificados.

O relatório questiona uma premissa antiga no DeFi de que manter o código dos contratos inteligentes em sigilo proporciona uma camada adicional de segurança. De acordo com a Chainalysis, os protocolos que dependem de código oculto estão cada vez mais recorrendo à "obscuridade como medida de segurança", uma abordagem que, segundo a empresa, está perdendo eficácia rapidamente. 

A Chainalysis recomendou a verificação do código-fonte, uma cobertura mais ampla do programa de recompensas por bugs e ferramentas de monitoramento em tempo real como medidas de segurança contra futuras explorações.

Relacionado: Token Humanity Protocol cai 85% após vazamento de chave privada de US$ 30 milhões

Preocupações com a segurança do DeFi persistem após perdas recordes em abril.

O relatório surge em meio a um aumento generalizado de ataques a criptomoedas. De acordo com a DeFiLlama, hackers roubaram US$ 629,7 milhões somente em abril, o maior valor mensal desde fevereiro de 2025.

A maior parte das perdas ocorreu em dois incidentes. A KelpDAO perdeu US$ 293 milhões e o Drift Protocol sofreu um ataque que resultou em um prejuízo de US$ 280 milhões, representando juntos mais de 80% dos fundos roubados no mês.

Embora as perdas tenham diminuído drasticamente em maio, com a CertiK relatando o roubo de US$ 68,3 milhões em explorações de criptomoedas, as consequências dos maiores ataques de abril persistiram. Em junho, a plataforma de inteligência blockchain Arkham informou que o autor do ataque à KelpDAO havia lavado quase a totalidade dos cerca de US$ 220 milhões em fundos roubados que haviam sido desbloqueados .

Carteira Kelp DAO com a tag Hacker, saldo total. Fonte: Arkham

A exploração da vulnerabilidade do KelpDAO também levou vários protocolos DeFi a revisarem sua infraestrutura de segurança , com projetos como o Solv Protocol anunciando planos de migração para a infraestrutura cross-chain da Chainlink após revisões internas de segurança.

Este mês, a Anthropic afirmou que 560 das 832 contas que baniu por violações de políticas ao longo de um ano usaram IA para ajudar a preparar ciberataques, incluindo a criação de malware e a identificação de vulnerabilidades.