Saltar para o conteúdo principal

Sequestro de Domínio Bonk.fun: Ataques de Front-End são o Vetor de Ameaça que Mais Cresce no Cripto

· 11 min de leitura
Dora Noda
Dora Noda
Software Engineer

Em 12 de março de 2026, um launchpad da Solana impulsionado pela comunidade que processa centenas de milhares de dólares em taxas diárias transformou-se brevemente em uma armadilha de drenagem de carteiras — e os contratos inteligentes que o alimentavam nunca foram tocados. O Bonk.fun, a plataforma de meme coins com a marca letsBONK e apoiada pela Raydium e pela BONK DAO, teve seu domínio sequestrado, um aviso falso de assinatura de "Termos de Serviço" injetado em seu front-end, e cerca de 35 carteiras esvaziadas antes que a equipe sinalizasse a violação. Os invasores não precisaram de um zero-day. Eles precisaram de um hostname.

Essa única hora de caos captura o que as equipes de segurança em todo o ecossistema DeFi vêm sussurrando desde 2023 e gritando desde o roubo de US$ 1,4 bilhão da Bybit: o código Solidity não é mais o alvo fácil. O front-end é. E o ponto cego coletivo do setor está custando aos usuários mais do que qualquer exploração de contrato inteligente na história.

A Anatomia de um Ataque de Front-End

Para entender por que o Bonk.fun importa muito além de seu impacto financeiro modesto, você precisa entender o que foi atacado — e o que não foi.

Os contratos inteligentes do Bonk.fun, a lógica on-chain que emite tokens e roteia a liquidez através da Raydium, funcionaram exatamente como projetado durante todo o incidente. A blockchain nunca mentiu. O que mentiu foi a interface do usuário.

Os invasores ganharam o controle da conta de domínio da equipe, provavelmente por meio de uma credencial comprometida no nível do registrador ou do servidor de nomes (nameserver). Com o controle sobre o DNS, eles puderam apontar o bonk.fun para seu próprio servidor — ou, de forma mais sutil, injetar JavaScript malicioso na página que os usuários já estavam visitando. O payload foi elegante: um banner de "Termos de Serviço" pedindo aos visitantes que assinassem uma mensagem de rotina na carteira para continuar usando o site. O pedido de assinatura parecia comum. As carteiras solicitaram a permissão. Os usuários clicaram em aprovar.

Aquela assinatura não era um reconhecimento de termos. Era uma permissão eth_signTypedData concedendo aos invasores aprovação de gastos ilimitados sobre os tokens do usuário. Uma vez assinada, um contrato de drenagem (drainer contract) limpou a carteira em uma única transação. No momento em que os fornecedores de segurança de navegadores sinalizaram o domínio, cerca de 35 carteiras já haviam sido esvaziadas. A detecção rápida da equipe manteve as perdas "mínimas", de acordo com a própria descrição da equipe do Bonk, mas o vetor de ataque em si foi comprovado de forma devastadora.

Por que 100% das Explorações de Alto Perfil Recentes Visam os Front-Ends

O Bonk.fun não é um caso isolado. É a entrada mais recente em um padrão de 2025–2026 tão consistente que agora parece uma taxonomia:

  • Fevereiro de 2025 — comprometimento da Safe{Wallet} da Bybit. O Lazarus Group da Coreia do Norte usou engenharia social em uma estação de trabalho macOS de um desenvolvedor da Safe, roubou credenciais da AWS e injetou JavaScript malicioso na interface do usuário da Safe{Wallet} que era ativado apenas quando os signatários da carteira fria (cold wallet) da Bybit aprovavam uma transação. Perda: US$ 1,4 bilhão em ETH — o maior roubo de cripto individual já registrado.
  • 2024–2025 — Sequestro de DNS da KuCoin. Invasores interceptaram credenciais de login e drenaram fundos, contribuindo para aproximadamente US$ 52 milhões em perdas.
  • Dezembro de 2025 — Extensão do Chrome da Trust Wallet. Uma atualização maliciosa enviada através da loja oficial de extensões exfiltrou dados de carteiras e drenou cerca de US$ 7 milhões de centenas de usuários antes de ser removida.
  • 2023 — Ataque de DNS da Curve Finance. Um comprometimento do servidor de nomes no domínio da Curve redirecionou o curve.fi para um front-end malicioso, solicitando aprovações que drenaram aproximadamente US$ 575.000, embora o backend não tenha sido tocado.
  • 2021 — Exploração da Cloudflare na BadgerDAO. Um comprometimento da chave de API do Cloudflare Workers permitiu que invasores injetassem scripts de coleta de aprovação no front-end da Badger, roubando cerca de US$ 120 milhões.

Cada um desses incidentes contornou a segurança dos contratos inteligentes. Cada um deles explorou algo que a indústria cripto não controla: registradores de DNS, provedores de CDN, lojas de extensões, endpoints de desenvolvedores, pipelines de construção. O padrão é desconfortável porque é honesto — a infraestrutura Web2 é o piso de segurança da Web3, e esse piso está cheio de buracos.

Os Dados: Os Drenadores de Carteiras Diminuíram, mas a Superfície de Ataque Aumentou

À primeira vista, os números contam uma história tranquilizadora. A Chainalysis e rastreadores do ecossistema de drenadores relataram que as perdas totais por phishing de drenadores de carteiras caíram para **US83,85milho~esem2025umaquedade83 83,85 milhões** em 2025 — uma **queda de 83%** em relação aos quase US 494 milhões em 2024. O número de vítimas caiu 68%, para cerca de 106.000.

Mas, ao ampliar a visão, surge um cenário diferente:

  • Ataques a carteiras pessoais atingiram US$ 713 milhões em 2025, tornando as carteiras individuais a maior categoria de perda única em cripto.
  • **As perdas totais da Web3 subiram para cerca de US2,712,94bilho~esem2025,contraUS 2,71–2,94 bilhões em 2025**, contra US 2,01 bilhões em 2024, de acordo com estimativas combinadas da Chainalysis, PeckShield e SlowMist.
  • Ataques baseados em permissões representaram 38% das perdas em incidentes acima de US$ 1 milhão — assinaturas, e não o código, são agora o principal método de exfiltração.
  • Assinaturas maliciosas EIP-7702 surgiram poucas semanas após a atualização Pectra da Ethereum, permitindo que invasores agrupassem várias ações maliciosas em uma única aprovação do usuário. Dois casos em agosto de 2025 sozinhos custaram US$ 2,54 milhões.

A economia dos drenadores não encolheu porque as defesas melhoraram. Ela encolheu porque os invasores subiram de nível — de drenadores de varejo que roubavam US200aquieUS 200 aqui e US 2.000 ali, para comprometimentos de front-end direcionados, de nível estatal, contra alvos institucionais e de custódia de alto valor. O roubo da Bybit sozinho foi 17 vezes o total global de drenadores de 2025.

DNS , CDNs e a Stack de Confiança que o Cripto não possui

Aqui está a verdade desconfortável que uma equipe de protocolo confronta quando tenta endurecer seu front-end : a maior parte da superfície de segurança não está sob seu controle .

Uma implantação típica de DeFi toca pelo menos sete camadas de infraestrutura Web2 :

1 . ** Registrador de domínio ** ( GoDaddy , Namecheap , Gandi ) — a autoridade máxima sobre quem possui o domínio . 2 . ** Provedor de DNS autoritativo ** ( Cloudflare , Route53 , NS1 ) — o sistema que diz aos navegadores para onde o domínio aponta . 3 . ** CDN e rede de borda ** ( Cloudflare , Fastly , Akamai ) — o servidor que realmente serve o HTML e o JavaScript . 4 . ** Provedor de hospedagem ** ( AWS , GCP , Vercel ) — onde vive o front-end compilado . 5 . ** Pipeline de build ** ( GitHub Actions , Vercel , Netlify ) — que assina e implanta os artefatos . 6 . ** Scripts de terceiros ** ( analytics , conectores de carteira , monitoramento ) — código que a equipe não escreveu , mas que envia de qualquer maneira . 7 . ** Lojas de extensões de navegador ** ( Chrome Web Store , Firefox Add-ons ) — o canal de entrega para as próprias carteiras .

Um invasor só precisa comprometer um desses para inserir uma solicitação de assinatura na tela do usuário . Protocolos que defendem $ 100 bilhões em TVL são estruturalmente dependentes da credencial mais fraca mantida por qualquer um dos sete fornecedores diferentes — a maioria dos quais tratará a conta de uma equipe de DeFi da mesma forma que trata um blog de tosa de cães .

O NIST finalmente atualizou sua orientação de segurança de DNS em março de 2026 com o ** SP 800-81r3 ** , substituindo um documento de 2013 . É a primeira atualização federal substantiva em mais de uma década e impulsiona o ECDSA e o Ed25519 em vez do RSA para o DNSSEC . Isso é útil — mas a adoção do DNSSEC em registradores convencionais permanece tão irregular que a maioria dos protocolos cripto não consegue ativá-lo de forma confiável .

O " Padrão de Front-End Seguro " que o Cripto ainda não possui

A segurança de contratos inteligentes tem uma curva de maturidade : verificação formal , auditorias da Trail of Bits e OpenZeppelin , bug bounties na Immunefi , monitoramento on-chain da Hypernative e Forta . Um protocolo bem financiado em 2026 pode apontar para uma árvore Merkle de controles defensivos em torno de seu código on-chain .

O front-end não tem nada disso . Não há equivalente a um relatório de auditoria para a configuração do registrador de uma equipe . Nenhum padrão da indústria para multi-sig em alterações de nome de domínio . Nenhum SOC 2 para um painel do Cloudflare . Nenhuma atestação on-chain de que o JavaScript que um usuário está executando corresponde à versão que a equipe implantou .

Alguns padrões promissores estão surgindo :

  • ** Hashes de Subresource Integrity ( SRI ) ** que bloqueiam scripts de terceiros em bytes conhecidos .
  • ** Cabeçalhos de Content Security Policy ( CSP ) ** que impedem a injeção de scripts inline .
  • ** Manifestos de front-end assinados ** publicados on-chain para que as carteiras possam verificar o que estão executando .
  • ** Front-ends hospedados em IPFS com resolução ENS ** , como a Uniswap e um número crescente de DEXs usam , reduzindo a dependência de DNS .
  • ** Simulação de transação no lado da carteira ** ( Rabby , MetaMask Snaps , Blowfish ) que mostra aos usuários o que uma assinatura realmente faz antes de assinarem .
  • ** Contas de registrador protegidas por chaves de hardware ** , provedores de DNS redundantes e pipelines de build restritos — a higiene operacional que a orientação da DomainSure e da Sherlock para 2026 agora enquadra como requisitos básicos .

Nenhum deles é padronizado . Nenhum é obrigatório . E a maioria dos protocolos , especialmente as plataformas de lançamento ( launchpads ) onde ocorre grande parte da ação de meme-coins , são lançados sem nenhum deles .

O que o Bonk.fun nos diz sobre os próximos doze meses

O Bonk.fun é um estudo de caso útil precisamente porque não é uma perda de um bilhão de dólares . A equipe detectou o sequestro rapidamente . As perdas foram contidas em dezenas de usuários , não milhares . O domínio foi recuperado em poucas horas .

Mas a economia em torno disso é explosiva . A receita do letsBONK.fun aumentou mais de 600 % no início de 2026 , com taxas de um único dia atingindo o pico de $ 352.793 . A plataforma tornou-se um roteador de liquidez significativo no ecossistema de memes da Solana , e todos os invasores do planeta agora sabem que seu front-end é o caminho de menor resistência . O próximo sequestro visará uma plataforma maior em um momento mais calmo e , quando for bem-sucedido , a nota de rodapé de 35 carteiras de 12 de março parecerá trivial .

As três respostas concorrentes da indústria já são visíveis :

1 . ** Endurecimento do perímetro ** — mais chaves de hardware , mais DNSSEC , mais manifestos assinados , mais DNS redundante . O caminho lento . 2 . ** Defesa no lado da carteira ** — simulação de transações , avisos de assinatura cega e bancos de dados de drenadores ( drainers ) que sinalizam contratos conhecidos como ruins antes que o usuário assine . O caminho rápido , mas inteiramente dependente dos fornecedores de carteiras , que implementam cada um de forma diferente . 3 . ** Mudança arquitetônica ** — IPFS + ENS , front-ends totalmente on-chain e políticas de abstração de conta que simplesmente se recusam a assinar permissões ilimitadas . O único caminho duradouro , mas o mais lento para ser entregue .

A realidade desconfortável é que ** todo protocolo que atualmente entrega um front-end HTTPS está estruturalmente exposto ** , e nenhuma quantidade de orçamento de auditoria corrige isso . O sequestro do Bonk.fun será repetido em alvos maiores por anos até que a indústria concorde com um equivalente de front-end para as melhores práticas de contratos inteligentes .

Infraestrutura é uma escolha de segurança

Os ataques de front-end expuseram uma verdade inconveniente sobre a Web3 : a descentralização on-chain significa pouco se seus usuários estiverem a um registro de DNS de perder tudo . Os protocolos que sobreviverem à próxima onda serão aqueles que tratarem cada dependência Web2 — registrador , CDN , canal de extensão , endpoint RPC — como parte de seu modelo de ameaça , não um item de linha em sua fatura de fornecedor .

  • BlockEden.xyz opera infraestrutura de RPC e indexadores em Sui , Aptos , Ethereum , Solana e mais de uma dezena de outras redes , endurecida com endpoints redundantes , proteção contra DDoS e os controles operacionais que as equipes institucionais precisam para manter seu back-end fora da superfície de ataque . Explore nosso marketplace de APIs para construir em uma infraestrutura projetada para uma web adversária .*
Share on Twitter