Incidentes de segurança

A falha na KelpDAO fez com que o valor total bloqueado (TVL) da Aave descesse de 26,4 mil milhões de dólares em 18 de abril de 2026 para cerca de 17 mil milhões de dólares em 21 de abril. O fundador da DefiLlama, 0xngmi, respondeu oficialmente no X às acusações do público de que os dados do seu Aave TVL foram exagerados devido à liquidez circular, afirmando que o montante de tokens emprestados já foi deduzido do TVL.

A análise dos OApps de LayerZero pós-hack do KelpDAO revela problemas de segurança significativos, com 47% a utilizarem o nível menos seguro de 1-of-1 DVN. O token rsETH do KelpDAO também opera neste nível vulnerável, expondo riscos nas arquitecturas de um único validador.

A aplicação Claude Desktop da Anthropic instala um ficheiro backdoor em navegadores baseados no Chromium sem o consentimento do utilizador, colocando sérios riscos de segurança e privacidade ao potencialmente permitir que os atacantes controlem os navegadores dos utilizadores.

Um nacional chinês foi detido na Argentina por transportar um passaporte paraguaio falsificado. É procurado por orquestrar uma fraude em criptomoedas de 49,4 milhões de dólares na Nigéria, e estão a ser iniciados procedimentos de extradição.

Em 18 de abril, um exploit de ponte cross-chain da Kelp levou ao roubo de $292 milhões em rsETH. A Lido reportou $21,6 milhões de exposição via o seu vault EarnETH, levando a Aave a congelar os mercados relevantes. O EarnETH colocou transacções em pausa e está a reduzir alavancagem, enquanto o tesouro da DAO da Lido implementou um mecanismo de protecção de $3 milhões para cobrir perdas potenciais. O protocolo central de staking permanece inalterado.

Forças de Segurança israelitas acusadas num caso de furto de criptomoedas As autoridades israelitas acusaram sete militares e polícias de liderarem uma rede de furto e subornos de vários milhões de dólares envolvendo criptomoeda, assinalando o segundo caso criminal relacionado com cripto a atingir o estabelecimento de defesa do país em

A Ice Open Network comunicou uma violação de segurança a 15 de abril, revelando acesso não autorizado a dados de utilizadores, incluindo endereços de e-mail e números de telefone 2FA, mas sem dados financeiros comprometidos. O incidente, ligado a ex-parceiros de um fornecedor de serviços, está em revisão legal, e os utilizadores são aconselhados a atualizar as definições de segurança. A violação evidencia problemas de segurança em escalada no sector das criptomoedas, com perdas significativas reportadas nos últimos meses.

A bolsa de criptomoedas russa Grinex cessou as operações após um ciberataque que causou perdas superiores a $13 milhões. O encerramento afecta a capacidade das empresas russas de converter rublos a nível internacional e coloca desafios ao sistema de finanças paralelas do país.

A LayerZero comunicou que o exploit do Kelp DAO, atribuído ao grupo Lazarus da Coreia do Norte, levou a uma perda de $292 milhões em tokens rsETH devido a vulnerabilidades na sua rede descentralizada de verificadores. Além disso, o eth.limo enfrentou um sequestro de domínio por meio de um ataque de engenharia social, mas o DNSSEC mitigou danos graves.

Uma recente falha de segurança (hack) que drenou quase $300 milhões de um projecto cripto levou a uma crise de liquidez no Aave, fazendo com que os utilizadores retirassem cerca de $9 mil milhões. As preocupações com a qualidade da garantia (colateral) levaram a levantamentos em massa, evidenciando riscos no crédito DeFi (financiamento descentralizado).

Um ataque coordenado de phishing ao Ethereum drenou $585,000 de quatro vítimas, explorando permissões do utilizador através de uma ligação enganadora. Este incidente evidencia a perda rápida de fundos por engenharia social, mesmo quando se faz passar por algo legítimo.

A plataforma de desenvolvimento na nuvem Vercel foi alvo de uma intrusão por parte de hackers a 19 de Abril, tendo os atacantes obtido permissões de acesso através de uma ferramenta de IA de terceiros utilizada por funcionários, e exigindo um resgate de 2 milhões de dólares. Embora os dados sensíveis não tenham sido acedidos, outros dados poderão já ter sido aproveitados. O incidente suscitou preocupações de segurança na comunidade cripto; a Vercel está atualmente a investigar e recomenda aos utilizadores que mudem as chaves.

A KelpDAO enfrentou uma perda de $290 milhões devido a uma violação de segurança sofisticada associada ao Grupo Lazarus. O ataque explorou fraquezas de configuração no seu sistema de verificação e evidenciou os riscos de depender de uma configuração de verificação de ponto único. Especialistas da indústria sublinham a necessidade de melhorar as configurações de segurança e a verificação multi-camada para prevenir incidentes futuros.

A LayerZero emitiu um comunicado relativamente ao ataque que visou a Kelp DAO e que envolveu 292 milhões de dólares, acusando a Kelp de ter tornado o incidente possível ao escolher uma configuração DVN 1-of-1. Os atacantes terão sido o grupo Lazarus da Coreia do Norte. A LayerZero sublinha que este incidente resulta de escolhas de configuração e que deixará de suportar este tipo de configurações vulneráveis. Além disso, a atribuição de responsabilidades permanece controversa, não tendo sido apresentada qualquer proposta de indemnização.

Em apenas 20 dias em Abril de 2026, os protocolos de criptografia sofreram perdas superiores a 606 milhões de dólares devido a ataques de pirataria, tornando-se o registo de perdas mensais mais severo desde o incidente de violação de dados de 1,4 mil milhões de dólares de uma bolsa em Fevereiro de 2025. Dois ataques, KelpDAO e Drift Protocol, totalizaram 95% das perdas de Abril, e 75% das perdas totais de 771,8 milhões de dólares até à data em 2026.

A Vercel confirmou uma violação de segurança causada por uma ferramenta de IA comprometida, que levou ao roubo de dados de funcionários e clientes. O incidente coloca riscos para o ecossistema Web3, e o atacante está a tentar vender os dados roubados por $2 milhões. A Vercel está a lidar com a situação com as autoridades policiais e especialistas em resposta a incidentes.

David Schwartz, CTO Emérito da Ripple, analisou vulnerabilidades de segurança na ponte na sequência do exploit do $292 milhão da Kelp DAO. Ele observou que os fornecedores priorizaram a conveniência em vez de uma segurança robusta, prejudicando funcionalidades de proteção essenciais. A violação da Kelp DAO teve origem num vazamento de chave privada, agravado por uma configuração de segurança simplificada na implementação da LayerZero.

Os tokens de re-staking de liquidez rsETH do Kelp DAO foram alvo de um ataque perpetrado por hackers a 19 de abril, que exploraram uma falha na validação de mensagens entre cadeias, resultando na libertação de 116.500 rsETH para endereços controlados pelo atacante. Vários protocolos DeFi congelaram de forma urgente as funcionalidades relacionadas, para fazer face a potenciais perdas. A LayerZero oficial afirmou que está a reparar ativamente a falha e que publicará um relatório de análise pós-incidente.

Em 2025, a França registou 41 raptos relacionados com criptomoedas no contexto do aumento dos "ataques com chave inglesa", levando a um reforço da segurança em torno de eventos ligados à blockchain. Os incidentes globais de coerção aumentaram 75%, com a França a liderar em número de casos. Estão em curso esforços para melhorar a segurança e para responder às preocupações sobre o risco de a França se tornar um centro de criptomoedas.