Uma exploração de US$ 26 milhões do protocolo de computação offline Truebit teve origem em uma falha em contrato inteligente que permitiu que um invasor fizesse mint de tokens a custo quase zero, destacando riscos de segurança persistentes até mesmo em projetos de blockchain com anos de existência.
A Truebit sofreu a exploração de US$ 26 milhões, que resultou em uma queda de 99% do token Truebit (TRU), informou o Cointelegraph na sexta-feira.
O invasor explorou uma brecha na lógica do contrato inteligente do protocolo, o que permitiu fazer mint de “grandes quantidades de tokens sem pagar nenhum ETH”, segundo a empresa de segurança blockchain SlowMist, que publicou uma análise pós-incidente na terça-feira.
“Devido à falta de proteção contra overflow em uma operação de adição de inteiros, o contrato Purchase do protocolo Truebit gerou um resultado incorreto ao calcular a quantidade de ETH necessária para fazer mint de tokens TRU”, disse a SlowMist.
As contas de preço do contrato inteligente foram então “erroneamente reduzidas a zero”, permitindo que o invasor drenasse as reservas do contrato ao fazer mint de tokens no valor de US$ 26 milhões “a custo quase zero”, afirmou o relatório.
Como o contrato foi compilado com Solidity 0.6.10, a versão anterior não incluía verificações de overflow integradas, o que fazia com que cálculos acima do valor máximo de “uint256” resultassem em um “overflow silencioso”, levando o resultado a “dar a volta” e ficar em um valor pequeno próximo de zero.
A exploração mostra que até protocolos mais consolidados seguem ameaçados por hackers. A Truebit foi lançada na mainnet do Ethereum há quase cinco anos, em abril de 2021.
A segurança de contratos inteligentes ganhou atenção no fim do ano passado, quando um estudo da Anthropic revelou que agentes de inteligência artificial (IA) disponíveis comercialmente encontraram explorações de contratos inteligentes no valor de US$ 4,6 milhões.
O Claude Opus 4.5, o Claude Sonnet 4.5, da Anthropic, e o GPT-5, da OpenAI, desenvolveram em conjunto explorações no valor de US$ 4,6 milhões quando testados em contratos inteligentes, segundo um artigo de pesquisa divulgado pela equipe red team da empresa de IA, dedicada a descobrir vulnerabilidades de código antes que agentes maliciosos possam encontrá-las.
Falhas em contratos inteligentes foram o maior vetor de ataques em 2025
Vulnerabilidades em contratos inteligentes foram o maior vetor de ataques para a indústria de criptomoedas em 2025, com 56 incidentes de cibersegurança, enquanto comprometimentos de contas ficaram em segundo lugar, com 50 incidentes, segundo o relatório de fim de ano da SlowMist.
Vulnerabilidades em contratos representaram 30,5% de todas as explorações cripto em 2025, enquanto contas hackeadas no X responderam por 24%, e vazamentos de chaves privadas por 8,5%, em terceiro lugar.
Enquanto isso, outros hackers estão mudando de estratégia, saindo de ataques a protocolos para explorar elos fracos no comportamento humano on-chain.
Golpes de phishing com criptomoedas surgiram como a segunda maior ameaça de 2025, custando aos investidores cripto um total acumulado de US$ 722 milhões em 248 incidentes, segundo a plataforma de segurança blockchain CertiK.
Ataques de phishing em criptomoedas são esquemas de engenharia social que não exigem invasão de código. Em vez disso, invasores compartilham links fraudulentos para roubar informações sensíveis das vítimas, como as chaves privadas de carteiras de criptomoedas.
Ainda assim, os investidores estão ficando mais conscientes dessa ameaça, já que os US$ 722 milhões representaram 38% a menos do que o US$ 1 bilhão roubado por golpes de phishing em 2024.
