Perdas atingem $1,5M quando atacantes acedem a dois contratos inteligentes DeFi no Arbitrum
Uma pesquisa on-chain observou fluxos de saída de dois projetos baseados em Arbitrum. Um atacante conseguiu obter acesso a dois projetos, lançando um contrato inteligente malicioso.
Dois projetos Arbitrum lançados pelo mesmo implementador sofreram saques não autorizados estimados em $1,5M. O atacante conseguiu obter acesso de administrador, substituindo contratos inteligentes por versões maliciosas.
O Cyvers Alert observou múltiplas transações suspeitas no Arbitrum, ainda uma das redes L2 compatíveis com Ethereum mais ativas.
A pesquisa preliminar mostrou que o implementador dos projetos USDGambit e TLP pode ter perdido acesso à sua conta. Isto permitiu ao atacante lançar um novo contrato com permissões ProxyAdmin, controlando ambos os projetos DeFi. Os fundos roubados foram transferidos de volta para Ethereum e misturados.
O ataque ao Arbitrum segue explorações similares de contratos inteligentes em pequena escala
O ataque recente estende a tendência de ataques relativamente sofisticados e direcionados contra protocolos menores. Os hacks de cripto abrandaram no último ano, mas as DeFi e carteiras individuais, bem como os contratos inteligentes, continuam a ser um dos principais alvos.
O ataque segue o recente roubo do Unleash Protocol, conseguindo novamente obter acesso a um processo de governação e implementar um contrato inteligente malicioso. Tal como nos ataques anteriores, os fundos foram quase imediatamente misturados.
Mesmo após os fluxos de saída do ano passado, o Arbitrum permanece um dos principais locais para atividade DeFi, ainda mantendo mais de $3B em liquidez.
Ataques recentes visaram projetos relativamente obscuros
Os ataques recentes afetaram projetos relativamente obscuros, com ganhos menores. O ataque recente segue um modelo que tem sido associado a hackers da RDPC, que usam principalmente a rede Ethereum e o Tornado Cash para lavar fundos.
Neste caso, o atacante escolheu um projeto com liquidez residual. O USD Gambit aponta para uma única exchange, que será descontinuada nas próximas semanas. O projeto existe desde 2023, mas não beneficiou da recuperação das DeFi e da negociação de futuros perpétuos. O ataque recente mostra que todos os projetos Web3 continuam em risco de drenagem da liquidez disponível.
No último trimestre de 2025, o Tornado Cash também mostrou um pico nos depósitos. O misturador detém um valor recorde bloqueado, tanto de novos hacks como de explorações antigas. O misturador contém mais de 338K ETH, ultrapassando até o pico de 2021.
O Tornado Cash detém liquidez recorde de ETH depois dos depósitos aumentarem no final de 2025. | Fonte: Dune Analytics
Até o misturador Railgun, que requer mais monitorização, alcançou atividade máxima no final de 2025.
Os novos exploradores movem-se rapidamente para evitar a lista negra de endereços. No entanto, a maioria dos projetos Web3 permite negociação sem colocar endereços de exploração em lista negra. Ao contrário dos hacks antigos, os novos exploradores tendem a trocar e misturar os seus fundos quase imediatamente, dependendo de uma infraestrutura Web3 mais ampla.
Seja visto onde conta. Anuncie na Cryptopolitan Research e alcance os investidores e construtores de cripto mais perspicazes.
Você também pode gostar
Futuros do Dow Jones recuam acentuadamente com os esforços de paz EUA-Irão a estagnar em meio a tensões crescentes
Tensões persistem: dinâmicas de mercado e políticas em flux
