1,4 milhões de dólares evaporaram numa noite: Como contratos não verificados se tornaram a máquina de levantamento automático dos hackers

A troca descentralizada TMX, na rede Arbitrum, sofreu um ataque de hackers a um contrato não verificado, resultando numa perda de aproximadamente 1,4 milhões de dólares. De acordo com os dados de monitorização da CertiK, os hackers, através de operações repetidas cuidadosamente planeadas, esgotaram sistematicamente os ativos de USDT, wrapped SOL e WETH no contrato. Este incidente mais uma vez expõe um risco subestimado no ecossistema DeFi: contratos não auditados são como cofres sem fechadura, prontos a serem arrombados.

Como é que os hackers conseguiram

A técnica de ataque dos hackers não é complexa, mas é surpreendentemente eficiente:

• Forjar tokens TMX LP pareados com USDT
• Trocar USDT por USDG
• Desbloquear o staking de TMX LP
• Vender USDG por mais ativos
• Repetir o ciclo acima

Este “ciclo de arbitragem” consegue ter sucesso porque há uma vulnerabilidade na lógica do contrato — os hackers descobriram diferenças de preço ou falhas no mecanismo de troca que podem ser exploradas repetidamente. Com múltiplas repetições, acabam por esvaziar a liquidez do contrato.

Porque é que é um “contrato não verificado”

Aqui, a expressão “não verificado” é uma palavra-chave. Significa:

De acordo com as últimas notícias, muitos projetos novos, para lançarem rapidamente, pulam a fase de auditoria. Esta prática parece economizar custos, mas na verdade é uma aposta na sorte — apostar que ninguém vai descobrir as vulnerabilidades. E os hackers são precisamente aqueles que fazem uma análise minuciosa.

O que é que este caso nos ensina

À primeira vista, parece que a perda foi do TMX. Mas o problema mais profundo é:

Falta de consciência de proteção por parte dos utilizadores de DeFi

Muitos participantes em mineração de liquidez ou trading raramente verificam se o contrato foi auditado. Em contraste, o projeto Mutuum Finance, que conseguiu atrair mais de 18.600 detentores, fez questão de passar por auditorias duplas com Halborn e CertiK. Isto mostra uma forte diferença de segurança.

Deficiências na gestão de risco por parte dos projetos

Lançar um contrato não verificado é um sinal de alerta. Se for um projeto legítimo, deve realizar uma auditoria assim que a funcionalidade estiver completa, e não esperar que algo aconteça para corrigir.

Redução do custo para hackers

Cada ataque bem-sucedido aumenta a experiência dos hackers. O próximo contrato não verificado pode estar igualmente vulnerável.

O que devemos acompanhar a seguir

• Se a equipa do projeto TMX irá emitir uma declaração oficial e planos de compensação
• Se a rede Arbitrum irá reforçar os alertas de risco para novos contratos
• Se os ativos roubados de 1,4 milhões de dólares serão rastreados e congelados
• Quantos outros contratos não verificados permanecem em risco

Resumo

A lição principal deste incidente é simples: no DeFi, a verificação de contratos não é uma opção, é uma obrigação. Se um projeto lança sem uma auditoria de segurança adequada, cada investimento que nele fizer está a apostar na qualidade do código da equipa. E os hackers são precisamente aqueles que fazem a auditoria mais rigorosa.

Para os utilizadores, antes de participarem em qualquer projeto DeFi, é fundamental consultar o Etherscan para verificar se há relatórios de auditoria de entidades como CertiK ou OpenZeppelin. Este passo, que não exige conhecimentos técnicos avançados, pode reduzir significativamente o risco. Para os projetos, o custo de uma auditoria é muito inferior ao custo de um ataque — os 1,4 milhões de dólares são a melhor lição.