70 posts marcados com "Segurança"

Cada carteira Ethereum, assinatura de validador e prova de conhecimento zero baseia-se na mesma suposição matemática : de que fatorar números grandes e resolver logaritmos discretos é impraticavelmente difícil para qualquer computador. Máquinas quânticas acabarão por quebrar essa suposição. Quando o fizerem, cerca de 25 % de todo o Bitcoin por valor — e uma fatia comparável de Ethereum — poderá ser exposta em uma única tarde.

A Ethereum Foundation não está esperando que essa tarde chegue. Em 25 de março de 2026, ela lançou o pq.ethereum.org, um hub de segurança pós-quântica dedicado que consolida anos de pesquisa em um único roteiro acionável. Mais de 10 equipes de clientes já estão executando devnets de interoperabilidade semanais, e a data-alvo para as atualizações principais da Camada 1 é 2029.

Esta é a migração criptográfica mais ambiciosa que qualquer rede descentralizada já tentou — e já está em andamento.

A linha de código mais cara da história das criptomoedas não foi um erro (bug). Foi um link de phishing.

Em fevereiro de 2025, um desenvolvedor da Safe{Wallet} clicou no que parecia ser uma mensagem de rotina. Em poucas horas, agentes norte-coreanos haviam sequestrado tokens de sessão da AWS, contornado a autenticação de múltiplos fatores e drenado US$ 1,5 bilhão da Bybit — o maior roubo individual na história das criptos. Nenhuma vulnerabilidade de contrato inteligente foi explorada. Nenhuma lógica on-chain falhou. O código estava bem. Os humanos não.

O Relatório de Crimes Cripto de 2026 da TRM Labs confirma o que aquele assalto prenunciava: a era da exploração de contratos inteligentes como o principal vetor de ameaça cripto acabou. Os adversários "subiram na stack", abandonando a caça por vulnerabilidades de código inéditas em favor do comprometimento da infraestrutura operacional — chaves, carteiras, assinadores e planos de controle em nuvem — que envolve protocolos de outra forma seguros.

E se você pudesse provar que ganha mais de $ 100.000 por ano, possui um passaporte válido ou tem uma pontuação de crédito FICO de 800 — tudo isso sem mostrar um único documento? Essa é a promessa do zkTLS e, em 2026, ele está avançando rapidamente da teoria criptográfica para a infraestrutura de produção.

O Zero-Knowledge Transport Layer Security (zkTLS) estende o protocolo de criptografia que já protege quase todos os sites que você visita. Em vez de apenas proteger os dados em trânsito, o zkTLS gera provas matemáticas de que dados específicos vieram de uma fonte verificada — sem nunca expor a informação subjacente. O resultado é uma ponte entre os cofres trancados de dados da Web2 e o mundo combinável e sem permissão da Web3.

Uma única verificação de autorização ausente. Dezessete dias sem detecção. Setenta e oito NFTs blue-chip — incluindo peças de Art Blocks, Doodles e Beeple — desviados de carteiras que nunca iniciaram uma transação. O exploit da Gondi de 9 de março de 2026 é uma aula magistral sobre como "recursos de conveniência" podem se tornar superfícies de ataque, e por que o setor de empréstimos de NFTs enfrenta desafios de segurança que o DeFi de tokens fungíveis nunca teve que confrontar.

Em 12 de março de 2026, uma única transação de Ethereum transformou $50,4 milhões em USDT em 327 tokens AAVE valendo aproximadamente$ 36.000. A perda não foi causada por um hack, um exploit ou um bug de contrato inteligente. Cada protocolo envolvido — Aave, CoW Swap, SushiSwap — funcionou exatamente como projetado. O usuário confirmou um aviso de impacto no preço de 99,9% em um dispositivo móvel, marcou uma caixa e assistiu a quase cinquenta milhões de dólares evaporarem para bots de MEV em menos de trinta segundos.

Este incidente é a falha de UX mais cara da história do DeFi e força uma pergunta desconfortável: se sistemas sem permissão "funcionando como projetados" podem destruir tanto valor, quem é responsável por evitar isso?

Oito wei. Isso é aproximadamente 0,000000000000000008 de um token — uma quantidade tão pequena que não tem valor monetário significativo. No entanto, em 3 de novembro de 2025, um invasor transformou erros de arredondamento nessa escala em US$ 128 milhões em ativos roubados, drenando os Composable Stable Pools da Balancer em nove blockchains em menos de trinta minutos.

A exploração da Balancer V2 é agora a maior exploração DeFi de vulnerabilidade única e multi-chain da história. Ela eliminou 52% do valor total bloqueado da Balancer da noite para o dia, sobreviveu a mais de dez auditorias de segurança das principais empresas do setor e forçou uma rede — a Berachain — a executar um hard fork de emergência apenas para recuperar os fundos. A vulnerabilidade? Uma única linha de código que arredondava na direção errada.

Levou menos de uma hora. Em 31 de janeiro de 2026, um invasor descobriu que uma única função de contrato inteligente na infraestrutura de ponte da CrossCurve carecia de uma verificação de validação crítica — e drenou sistematicamente US$ 3 milhões entre Ethereum, Arbitrum e outras redes antes que qualquer pessoa pudesse reagir. Nenhum zero-day sofisticado. Nenhum comprometimento de chave interna. Apenas uma mensagem fabricada e uma chamada de função que qualquer pessoa na blockchain poderia fazer.

O incidente da CrossCurve é um lembrete contundente de que as pontes cross-chain continuam a ser a superfície de ataque mais perigosa nas finanças descentralizadas — e que mesmo protocolos que ostentam arquiteturas de segurança em várias camadas podem entrar em colapso quando um único contrato falha criticamente.

Agentes de IA que podem negociar tokens de forma autônoma, reequilibrar posições DeFi e pagar por seu próprio processamento parecem revolucionários — até que um sofra uma injeção de prompt para enviar as economias de sua vida para um invasor. O framework de segurança Web3 MCP recém-publicado pelo Google Cloud aborda exatamente esse pesadelo, apresentando um projeto de nível empresarial para proteger agentes do Protocolo de Contexto de Modelo (Model Context Protocol) que interagem com blockchains.

Aqui está o que o framework recomenda, por que isso importa e como ele se compara às abordagens concorrentes da Coinbase, Ledger e ao padrão de pagamento emergente x402.

Uma auditoria de segurança sinalizou o vetor de ataque exato meses antes. A equipe o descartou. No domingo, um invasor fugiu com $ 3,7 milhões.

O Venus Protocol, a plataforma de empréstimo dominante na BNB Chain com aproximadamente $1,47 bilhão em valor total bloqueado, sofreu uma exploração devastadora de manipulação de preço em 15 de março de 2026. O invasor visou o THE — o token nativo da exchange descentralizada Thena — inflando seu preço de$ 0,27 para quase $5 por meio de um loop cuidadosamente orquestrado de depósitos, empréstimos e compras. O resultado: mais de$ 3,7 milhões drenados em BTC, CAKE, USDC e BNB, com aproximadamente $ 2,15 milhões persistindo como dívida incobrável (bad debt) irrecuperável.

O que torna este ataque notável não é apenas sua escala, mas a paciência por trás dele — e o fato de que a vulnerabilidade estava escondida à vista de todos.