Uma chave privada vazada abriu caminho para um ataque ao protocolo StakeDAO na rede Arbitrum: o invasor cunhou 5,4 trilhões de tokens e saiu com cerca de US$ 91 mil em ativos.
O protocolo de finanças descentralizadas StakeDAO sofreu um exploit na manhã desta semana que expôs uma falha crítica em sua infraestrutura de mensagens entre redes. Um agente malicioso conseguiu acesso a uma chave privada comprometida e a utilizou para forjar uma mensagem cross-chain válida na rede Arbitrum, enganando o sistema de validação do protocolo.
O resultado foi a cunhagem artificial de 5,4 trilhões de tokens — um volume absurdamente superior à oferta legítima da plataforma. Com esse estoque fabricado, o atacante drenhou liquidez dos pools afetados e converteu os ganhos ilícitos em ativos de maior liquidez, acumulando o equivalente a aproximadamente US$ 91 mil antes de encerrar a operação.
Segundo a The Defiant, o incidente desencadeou alertas em cascata em protocolos parceiros, incluindo o Curve Finance e o Beefy Finance, ambos com integrações ativas ao StakeDAO. As equipes desses projetos emitiram comunicados orientando usuários a remover liquidez preventivamente enquanto as investigações avançavam.
Uma chave privada comprometida permitiu ao atacante autenticar uma mensagem cross-chain falsa na Arbitrum, bypassando as verificações do contrato.
O exploit gerou 5,4 trilhões de tokens fictícios, usados para drenar liquidez dos pools e converter em ativos negociáveis no mercado aberto.
O atacante embolsou cerca de US$ 91 mil em ativos antes de encerrar a operação, valor considerado relativamente contido para um exploit de DeFi.
Curve Finance e Beefy Finance emitiram alertas e orientaram usuários a retirar liquidez preventivamente devido às integrações com o protocolo atacado.
O risco da custódia de chaves em infraestrutura online
Ataques baseados em comprometimento de chave privada são um dos vetores mais recorrentes em hacks de DeFi. Quando uma chave com permissões administrativas ou de assinatura fica exposta — seja por falha operacional, phishing ou acesso indevido a servidores — o atacante adquire capacidade de agir como se fosse o próprio protocolo, tornando a detecção mais difícil e o dano potencialmente irreversível.
O StakeDAO não detalhou publicamente como a chave foi comprometida, mas incidentes anteriores no setor apontam para vetores comuns: servidores de infraestrutura mal configurados, vazamentos em repositórios de código ou ataques de engenharia social contra membros da equipe. A investigação segue em andamento.
Para os usuários que mantinham posições nos pools afetados, o episódio reforça a importância de monitorar ativamente os protocolos nos quais se deposita liquidez — e de compreender os riscos associados às integrações entre plataformas DeFi, onde um ponto de falha pode se propagar rapidamente.
Leia tambem: como blindar suas criptomoedas contra roubos.
📰 Nota editorial
As informações sobre o exploit foram reportadas originalmente pela The Defiant, veículo especializado em finanças descentralizadas. O KriptoHoje apurou e reescreveu o conteúdo de forma independente. Detalhes técnicos adicionais podem ser divulgados pelas equipes envolvidas à medida que a investigação avança.
Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.
Seus ativos sob sua custódia, do jeito certo
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.
Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.
Leituras relacionadas
🌉 Riscos de bridges cross-chainPontes entre blockchains concentram bilhões em valor e se tornaram alvo favorito de hackers no ecossistema cripto.
🛡️ O que é uma hardware wallet?Saiba como dispositivos de armazenamento a frio protegem suas chaves privadas contra ataques online e vazamentos.
Este conteúdo é de caráter informativo e não constitui recomendação de investimento. Criptomoedas são ativos voláteis; consulte um profissional antes de investir.