A empresa de análise de blockchains Chainalysis publicou a 9 de junho um relatório que regista que, entre janeiro e maio, pelo menos 36,7 milhões de dólares foram roubados a partir de protocolos que nunca disponibilizaram para verificação pública o código-fonte original em exploradores de blocos, envolvendo 4 ataques e 5 protocolos; em todos os casos, os atacantes encontraram as vulnerabilidades através da descompilação do bytecode original (e não da leitura do código-fonte público).
Quatro casos de ataques: montantes perdidos, datas e tipos de vulnerabilidades confirmadas
De acordo com o relatório da Chainalysis, os dados confirmados dos cinco protocolos atacados são os seguintes:
Truebit: 26,2 milhões de dólares, a 8 de janeiro de 2026, na Ethereum; overflow inteiro na função getPurchasePrice() (Solidity v0.5.3, esta versão não tem proteção automática contra overflow)
Trusted Volumes: 5,9 milhões de dólares, a 7 de maio de 2026, na Ethereum; vulnerabilidade de controlo de acesso na proxy de troca RFQ
Aperture Finance: 3,2 milhões de dólares, a 25 de janeiro de 2026, na Ethereum; contorno da validação de entradas através de transferFrom
(Fonte: Chainalysis)
Ekubo: 1,4 milhões de dólares, a 5 de maio de 2026, na Ethereum; lógica de retrocesso não verifica a identidade do pagador
A Chainalysis confirma que os contratos relevantes de todos os protocolos acima não foram verificados em Etherscan ou noutros exploradores de blocos no momento em que os ataques ocorreram, e também não existia código-fonte publicamente relacionado.
Detalhes do caso Truebit: contrato implantado em 2021, com registos on-chain que indicam comportamento de ataque sistemático
A análise de diagramas Reactor da Chainalysis mostra que o endereço do atacante por detrás do ataque Truebit (8 de janeiro de 2026, prejuízo de 26,2 milhões de dólares) tinha roubado 5 ETH ao protocolo Sparkle 12 dias antes.
O relatório confirma que o endereço procurou de forma sistemática vulnerabilidades em contratos verificados e não verificados, evoluindo progressivamente de objetivos iniciais pequenos para um ataque final de grande escala; as receitas dos dois ataques foram lavadas através da Tornado Cash. O contrato que foi atacado no Truebit foi implantado na Ethereum desde 2021 e nunca teve o código-fonte verificado na Etherscan.
Três falhas de segurança em contratos não verificados: mecanismos de falha de defesa confirmados pela Chainalysis
O relatório da Chainalysis confirma que, quando um protocolo escolhe uma implantação em regime closed-source, os seguintes três níveis tradicionais de segurança deixam de funcionar em simultâneo:
Falha de revisão por investigadores de white-hat: sem código-fonte legível e publicamente acessível, os investigadores não conseguem identificar e reportar vulnerabilidades
Exclusão de programas de bug bounty: contratos não verificados são normalmente explicitamente excluídos dos principais programas de bug bounty
Falha de reporte orientado pela comunidade: num ambiente de auditoria aberta sem código-fonte, a comunidade não consegue identificar proativamente problemas de segurança
O relatório da Chainalysis confirma que, para protocolos com contratos não verificados, a monitorização on-chain em tempo real é, atualmente, o único meio de proteção que substitui os mecanismos de falha acima.
Perguntas frequentes
Qual é a diferença central de segurança entre smart contracts não verificados e contratos verificados?
No caso dos contratos verificados, o código-fonte pode ser lido publicamente em exploradores de blocos como o Etherscan, permitindo que investigadores identifiquem diretamente vulnerabilidades e as reportem. Nos contratos não verificados, apenas é disponibilizado o bytecode compilado; investigadores e atacantes precisam de fazer engenharia inversa através de ferramentas de descompilação, e os contratos não verificados são normalmente excluídos dos principais programas de bug bounty.
Como comparar os 36,7 milhões de dólares registados pela Chainalysis com as perdas totais associadas a roubos no DeFi?
De acordo com o relatório da Chainalysis, os 36,7 milhões de dólares correspondem a uma subcategoria separada dos 10 mil milhões de dólares de perdas totais em mais de 88 protocolos DeFi registados pela DeFiLlama no mesmo período. A maioria dos protocolos atacados registados pela DeFiLlama tem smart contracts verificados; os ataques a contratos não verificados constituem um padrão de ataque único, pelo que não devem ser comparados diretamente com estatísticas de segurança mais abrangentes do DeFi.
Quais são as recomendações de segurança concretas da Chainalysis para protocolos com contratos não verificados?
A única recomendação concreta confirmada pelo relatório da Chainalysis é implementar monitorização on-chain em tempo real para substituir as funcionalidades de falha do ecossistema de segurança tradicional em contratos não verificados. O relatório não fornece recomendações específicas de ferramentas de monitorização, normas de implementação nem sugestões de calendário.
