Caos na Web3 Atinge com Força: Milhões Drenados em Apenas Duas Semanas de 2026 – Relatório

A Extropy reporta grandes hacks cripto em janeiro de 2026. A Truebit perde 26 milhões de dólares, violação de dados da Ledger expõe utilizadores e ataques de phishing aumentam.

As primeiras duas semanas de 2026 trouxeram uma onda de incidentes de segurança nas plataformas Web3. 

A Extropy publicou o seu relatório Security Bytes documentando estes eventos. As conclusões retratam um quadro preocupante do atual panorama de ameaças.

Segundo o relatório, os atacantes continuaram as suas operações durante a época festiva. Os danos variaram entre explorações de milhões de dólares e campanhas sofisticadas de phishing.

Protocolo Truebit Perde 26 Milhões de Dólares Devido a Falha em Código Legado

O primeiro grande incidente do ano atingiu o Protocolo Truebit a 8 de janeiro. Um atacante drenou aproximadamente 26 milhões de dólares naquilo que a Extropy designa como exploração de "código zombie".

A vulnerabilidade resultou de um overflow de inteiros em contratos inteligentes legados. Estes contratos mais antigos careciam das proteções nativas contra overflow do Solidity moderno. O atacante cunhou milhões de tokens TRU praticamente sem custos.

Uma vez criados, os tokens inundaram novamente o protocolo. Toda a liquidez disponível desapareceu em poucas horas. O preço do token TRU colapsou quase 100% em apenas 24 horas.

A Extropy nota que o atacante moveu 8.535 ETH através do Tornado Cash imediatamente. Empresas de segurança ligaram posteriormente a carteira a uma exploração anterior do Protocolo Sparkle. Isto sugere um reincidente que visou especificamente contratos abandonados.

O relatório alerta que os contratos legados permanecem uma vulnerabilidade crítica. Os projetos devem monitorizar ou depreciar ativamente o código antigo.

TMXTribe Observa Drenagem de 1,4 Milhões de Dólares Durante 36 Horas

Entre 5 e 7 de janeiro, a TMXTribe sofreu um ataque mais lento mas igualmente devastador. O fork do GMX no Arbitrum perdeu 1,4 milhões de dólares durante 36 horas contínuas.

A Extropy descreve a exploração como mecanicamente simples. Um loop cunhou tokens LP, trocou-os por stablecoins e depois retirou repetidamente. Os contratos não verificados impediram a análise pública da falha exata.

O que mais perturbou os investigadores foi a resposta da equipa. Segundo o relatório, os programadores permaneceram ativos na blockchain durante todo o ataque. Implementaram novos contratos e executaram atualizações durante a drenagem.

No entanto, nunca acionaram uma função de pausa de emergência. Em vez disso, a equipa enviou uma mensagem de recompensa na blockchain ao atacante. O ladrão ignorou-a, transferiu fundos para Ethereum e branqueou-os através do Tornado Cash.

A Extropy questiona se isto representa negligência ou algo pior. O relatório enfatiza que contratos não verificados servem como sinais de alerta para os utilizadores.

Clientes da Ledger Enfrentam Riscos de Segurança Física

A 5 de janeiro, a Ledger confirmou uma violação de dados afetando a sua base de clientes. A violação teve origem no processador de pagamentos Global-e, não no hardware da Ledger.

Nomes de clientes, moradas de envio e informações de contacto foram comprometidos. A Extropy alerta que isto cria o que os especialistas em segurança chamam cenários de "ataque de chave inglesa". Os atacantes possuem agora uma lista de proprietários de carteiras de hardware cripto e as suas localizações.

O relatório nota uma amarga ironia. A Ledger enfrentou anteriormente críticas por cobrar por funcionalidades de segurança. Agora o seu processador de pagamentos expôs os utilizadores a perigo físico sem custos.

A Extropy aconselha os utilizadores a esperarem tentativas sofisticadas de phishing. Os dados roubados permitem aos atacantes estabelecer falsa confiança através de comunicações personalizadas.

Leitura Relacionada: Um Resumo de Incidentes de Segurança Relacionados com Carteiras de Hardware Ledger

Campanha de Phishing da MetaMask Drena 107.000 Dólares

O investigador de segurança ZachXBT sinalizou uma operação sofisticada de phishing visando utilizadores da MetaMask. A campanha drenou mais de 107.000 dólares de centenas de carteiras.

As vítimas receberam e-mails profissionais alegando uma atualização obrigatória de 2026. As mensagens utilizaram modelos de marketing legítimos e apresentavam um logótipo modificado da MetaMask. A Extropy descreve o design da raposa com "chapéu de festa" como desarmantemente festivo.

O esquema evitou pedir frases-semente. Em vez disso, solicitou aos utilizadores que assinassem aprovações de contratos. Isto permitiu aos atacantes mover tokens ilimitados das carteiras das vítimas.

Ao manter os roubos individuais abaixo de 2.000 dólares, a operação evitou alertas importantes. A Extropy enfatiza que as assinaturas podem ser tão perigosas quanto chaves vazadas.

The post Web3 Chaos Hits Hard: Millions Drained in Just Two Weeks of 2026 – Report appeared first on Live Bitcoin News.