O ataque de phishing desencadeou uma votação de emergência para recuperar os fundos, testando a resiliência da comunidade DeFi em um mercado em alerta.
O ecossistema de finanças descentralizadas (DeFi) sofreu mais um ataque hacker, especificamente de phishing, nesta terça-feira (2/9). O ataque de phishing devastador drenou cerca de US$ 27 milhões em criptoativos de um usuário da Venus Protocol. Essa é uma das principais plataformas de empréstimo descentralizado na blockchain BNB Chain.
Segundo o perfil PeckShieldAlert, do X, a Venus Protocol respondeu rapidamente. O protocolo propôs uma votação de emergência para forçar a liquidação da posição do atacante e recuperar os fundos roubados.
Com um prazo crítico de uma hora para a votação no Snapshot, o incidente expõs vulnerabilidades persistentes em DeFi. Desse modo, mobilizou a comunidade para proteger o protocolo e seus usuários em um mercado de US$ 288 bilhões, conforme estimativas globais de stablecoins e ativos digitais.
O começo do ataque à Venus
O ataque, identificado quase imediatamente após sua execução, envolveu um usuário que, sem saber, aprovou uma transação maliciosa. A transação concedeu permissão ao endereço do atacante (0x7fd8…202a) para transferir ativos da carteira da vítima.
De acordo com o site da Venus Protocol, o protocolo foi pausado como medida de segurança, bloqueando os US$ 27 milhões roubados na carteira do hacker. A proposta de emergência, detalhada em uma página de votação, delineou um plano em três etapas.
A primeira foi restaurar parcialmente o protocolo, em até 5 horas. Em seguida, foi necessário liquidar forçadamente a posição do atacante, em até 7 horas. Por fim, recomendou-se realizar uma revisão de segurança completa em até 24 horas.
Portanto, a resposta ágil acalmou os usuários do protocolo, refletindo o compromisso da Venus de proteger sua comunidade. Mas também destacou os desafios de segurança em um setor onde os ativos são gerenciados por código e confiança.
Resposta incluiu a restauração parcial do protocolo
Phishing é uma tática comum em que os atacantes enganam usuários para aprovar transações maliciosas e roubar as melhores criptomoedas do mercado. Neste caso, explorou uma vulnerabilidade no processo de aprovação de tokens da vítima.
Dados da PeckShield sobre o hack indicam que o endereço 0x7fd8…202a, identificado como o beneficiário do ataque, agora detém os US$ 27 milhões em ativos. Isso inclui uma mistura de BNB, stablecoins como USDT e USDC, e outros tokens suportados pela Venus.
A pausa imediata do protocolo, anunciada pela equipe em um comunicado no site e no X, evitou perdas adicionais. Mas deixou os fundos travados, exigindo uma ação coordenada para sua recuperação.
A votação de emergência, que requeria um quórum de 0,0208%, encerrou no dia 2 de setembro, um prazo apertado que testa a mobilização da comunidade.
O plano proposto pela Venus inclui a restauração parcial do protocolo para permitir que usuários ajustem posições e evitem liquidações, seguida pela liquidação forçada da carteira do atacante.
Essa medida, executada com uma transação de guardião, visa recuperar os fundos sem afetar outras posições no protocolo.
Além disso, a revisão de segurança subsequente envolveu uma análise completa dos contratos inteligentes para prevenir ataques futuros.
A equipe enfatizou que o protocolo em si permaneceu intacto, com o incidente limitado a uma falha de usuário. Mas a rapidez da resposta recebeu elogios. Afinal, foi um exemplo de governança descentralizada eficaz, ainda que sob pressão.
Impacto sobre o ecossistema DeFi
O ataque de US$ 27 milhões é um dos maiores registrados em 2025, superando incidentes como o hack de US$ 13,5 milhões na Venus em setembro de 2024, conforme o The Block.
O valor representa cerca de 0,01% do mercado global de DeFi, que movimenta US$ 288 bilhões, segundo dados da DefiLlama. Mas seu impacto simbólico é significativo.
A BNB Chain, que hospeda a Venus, viu seu volume diário de transações cair 15% em apenas 24 horas, refletindo a cautela dos investidores.
Já o preço do token Venus (XVS) caiu 8% para US$ 6,92. Enquanto isso, o Bitcoin (BTC) e o Ether (ETH) permaneceram relativamente estáveis em US$ 108.200 e US$ 4.500, respectivamente. Portanto, os efeitos não extrapolaram o ecossistema específico.
A pausa da Venus também afetou os detentores de posições alavancadas, com liquidações totais na plataforma atingindo US$ 1,2 milhão em poucas horas, segundo o CoinGlass.
Portanto, incluiu perdas de usuários que não conseguiram ajustar suas posições a tempo, amplificando o impacto econômico.
Apesar disso, a proposta de recuperação foi recebida com otimismo, com analistas da Chainalysis sugerindo que a liquidação forçada pode restaurar até 90% dos fundos, dependendo da eficiência da execução.
O incidente reforça a necessidade de educação sobre segurança em DeFi. Afinal, os usuários são responsáveis por proteger suas chaves privadas e aprovações de tokens.
Vulnerabilidades em DeFi
A popularidade da Venus, que oferece taxas de juros competitivas e suporte a mais de 30 ativos, atrai milhões de usuários, mas também criminosos que exploram falhas humanas.
Os ataques de phishing, responsáveis por 40% dos roubos de cripto em 2024, segundo o CipherTrace, dependem de e-mails falsos, sites clonados ou contratos maliciosos que enganam usuários para aprovar transações. No caso da Venus, a vítima aparentemente clicou em um link fraudulento, concedendo acesso irrestrito ao atacante.
A pausa do protocolo, embora eficaz para conter o dano, expõe uma limitação inerente ao modelo DeFi: a dependência de respostas manuais em emergências.
Diferentemente de bancos tradicionais com sistemas de segurança centralizados, a Venus opera sob governança comunitária, o que exige votações rápidas como a atual. Essa estrutura, enquanto democrática, pode ser lenta em crises, como observado em hacks anteriores, como o de US$ 600 milhões na Poly Network em 2021.
A revisão de segurança planejada pela Venus pode incluir a implementação de ‘time locks’ ou limites de aprovação. Mas a eficácia dependerá da adesão da comunidade.
Controvérsias e reações da comunidade
A resposta da Venus foi amplamente elogiada, mas não isenta de críticas. Alguns usuários no X questionaram por que o protocolo não implementou alertas de aprovação em tempo real, sugerindo que a responsabilidade recai parcialmente sobre a governança.
Outros apontaram que o atacante pode ter explorado uma falha conhecida no padrão ERC-20, usado pela BNB Chain, levantando debates sobre a compatibilidade dos contratos.
A proposta de liquidação forçada também gerou controvérsia, com preocupações de que possa estabelecer um precedente para intervenções centralizadas em DeFi.
Disclaimer: Coinspeaker está comprometido em fornecer reportagens imparciais e transparentes. Este artigo tem como objetivo fornecer informações precisas e oportunas. Mas não deve ser considerado como conselho financeiro ou de investimento. Como as condições do mercado podem mudar rapidamente, recomendamos que você verifique as informações por conta própria. E consulte um profissional antes de tomar qualquer decisão com base neste conteúdo.
next