Projetos DeFi perdem US$ 6 milhões em novos ataques na semana

Ataques recentes a projetos menores de DeFi, embora menos noticiados, continuam a causar prejuízos significativos no ecossistema cripto. De acordo com dados da Protos, já foram registrados 77 incidentes em 2025, totalizando mais de US$ 1,1 bilhão em perdas.

Em abril, o cenário foi especialmente crítico: 33 ataques resultaram em mais de US$ 600 milhões em danos. No entanto, dois incidentes — os hacks no Drift Protocol e no rsETH bridge — foram responsáveis por 95% das perdas do mês. Embora maio não tenha mantido o mesmo ritmo devastador, uma onda de atividades criminosas resultou em quase US$ 6 milhões roubados de seis projetos apenas nesta semana.

Detalhes dos ataques recentes

Segunda-feira, 11 de maio: dois incidentes

Na rede Polygon, o contrato Workspace Treasury Proxy da Ink Finance foi explorado, resultando em um prejuízo de US$ 140 mil. Segundo a empresa de segurança SlowMist, a vulnerabilidade ocorreu devido à falta de controle de acesso na função PayrollDistribution.

No mesmo dia, a Huma Finance também foi alvo, perdendo US$ 100 mil. A equipe esclareceu que os fundos foram retirados de contratos legados (versão 1), já desativados, e que a versão 2, baseada na Solana, não apresenta o mesmo problema.

Terça-feira, 12 de maio: quatro ataques

Na terça-feira, o projeto TAC, uma blockchain projetada para dApps EVM acessarem a rede TON, reportou um incidente de segurança em seu bridge, que foi pausado. Estimativas de terceiros indicam perdas de cerca de US$ 3 milhões em tokens como USDT e BLUM.

No mesmo dia, a empresa de auditoria PeckShield identificou um ataque à Transit Finance, com um prejuízo de US$ 1,9 milhão em DAI. Os fundos roubados foram rastreados até o endereço:

0x8a634DfA2609358849D7D65FFA270C8A57a8abA5

A equipe da Transit Finance afirmou que as perdas vieram de vulnerabilidades históricas em um contrato desativado na TRON desde 2022. Eles garantiram que os usuários não precisam tomar nenhuma ação e que os afetados serão compensados. O projeto já havia sido atacado em outubro de 2022, com perdas superiores a US$ 20 milhões, mas a maioria dos fundos foi recuperada.

Segundo a Decurity, o ataque desta semana explorou a mesma vulnerabilidade de 2022. Ainda na terça-feira, os projetos Aurellion e BoostHook também foram vítimas, com perdas estimadas em US$ 455 mil e US$ 200 mil, respectivamente.

Quarta-feira, 13 de maio: um novo ataque

Durante a elaboração desta reportagem, outro projeto foi alvo na rede Arbitrum. A Blockaid identificou um prejuízo de US$ 130 mil no FOX Colony, além de mais US$ 50 mil em um ataque semelhante a um contrato clone. A empresa alertou que outros contratos semelhantes podem estar expostos.

Este episódio ocorre após o anúncio da Code4rena, plataforma de concursos de auditoria, de que encerrará suas operações. A ImmuneFi, plataforma de recompensas por bugs, assumirá os programas de bounties da Code4rena.