Hackeia e Desvia: US$ 1 Milhão Sumiu do Protocolo de Stablecoin USPD

Um ataque direto ao coração de um protocolo de stablecoin sacode o mercado. O USPD, que prometia estabilidade, viu US$ 1 milhão evaporar em uma jogada que expõu falhas críticas.

Como a Falha Aconteceu

O invasor não quebrou portas—encontrou uma janela aberta. Explorando uma vulnerabilidade no contrato inteligente, o ataque desviou os fundos sem disparar alarmes imediatos. Um golpe cirúrgico que questiona a robustez dos sistemas por trás das promessas de paridade com o dólar.

O Impacto Imediato

O preço da stablecoin descolou brevemente de seu *peg*, causando ondas de desconfiança. É o pesadelo de todo detentor: a garantia de um ativo estável sendo posta à prova por uma falha de código. Enquanto as equipes de segurança correm, os usuários são lembrados de que, no fim do dia, contratos são escritos por humanos—e humanos erram.

O Que Isso Significa Para o Setor

Mais um caso para o livro de registros de hacks em DeFi. Cada incidente desses serve de alerta: inovação sem auditoria rigorosa é um convite ao desastre. Enquanto os tradicionais reclamam da "instabilidade" das criptomoedas, esquecem que bancos também são hackeados—a diferença é que aqui a transparência é obrigatória, não opcional.

Um milhão pode parecer pouco no mar de bilhões do setor, mas o custo real é a confiança. E no mundo das finanças descentralizadas, essa é a única stablecoin que realmente importa.

Um hacker do Departamento de Polícia dos EUA aproveitou-se de proxies para enganar o protocolo e obter uma moeda virtual. 

O DeFi mencionou que a violação explorou um vetor de ataque complexo chamado “CPIMP”, abreviação de Clandestine Proxy In the Middle of Proxy (Proxy Clandestino no Meio do Proxy). A USPD explicou que o invasor interceptou a inicialização do proxy em 16 de setembro, durante a implantação, usando uma transação Multicall3

2/ Isso não foi uma falha na lógica do nossotracinteligente.

O protocolo USPD passou por rigorosas auditorias de segurança realizadas por empresas de ponta como @NethermindEth e Resonance. Nosso código é totalmente testado unitariamente e segue rigorosos padrões da indústria. A lógica em si permanece segura.

— USPD.IO | O Dólar da Nação Descentralizada (@USPD_io) 4 de dezembro de 2025

O hacker usou o CPIMP para obter direitos administrativos silenciosamente antes que os scripts do protocolo fossem totalmente executados, aguardando meses para começar a cunhar moedas sem autorização. Ele implementou umtrac"sombra" que encaminhava chamadas para o código auditado do USPD e, em seguida, implementou sutilmente uma manipulação de payload de eventos e falsificação de slots de armazenamento para enganar o Etherscan e fazê-lo exibir otracauditado original. 

“Essa camuflagem permitiu que o invasor se escondesse à vista de todos por meses, burlando ferramentas de verificação e checagens manuais. Hoje, ele usou seu acesso oculto para atualizar o proxy, gerar cerca de 98 milhões de USPD e drenar cerca de 232 stETH”, escreveu a USPD.

O analista de blockchain Emmet Gallic reiterou a análise do protocolo DeFi , acrescentando que uma inicialização de proxy causou o ataque durante a implantação. 

“O invasor reivindicou direitos de administrador e instalou uma implementação paralela que falsificava o Etherscan para exibir otracauditado. O protocolo ficou invadido por meses”, concluiu ele.

O Departamento de Polícia dos EUA (USPD) dará continuidade às investigações e promete recompensa ao hacker.

Em resposta ao ataque, o Departamento de Polícia dos EUA (USPD) declarou que está trabalhando em estreita colaboração com as autoridades policiais e grupos de segurança cibernética para trace congelar os fundos roubados. "Sinalizamos os endereços do atacante em todas as principais corretoras centralizadas (CEX) e corretoras descentralizadas (DEX) para bloquear o fluxo de fundos", revelou a equipe.

O protocolo também afirmou estar disposto a resolver a situação com o atacante caso os fundos sejam devolvidos, descontada uma recompensa padrão de 10% pela descoberta da vulnerabilidade. O protocolo prometeu cessar todas as ações policiais caso a oferta fosse aceita e incentivou o atacante a contatá-lo diretamente ou devolver 90% dos ativos roubados para que o assunto fosse resolvido.

“Estamos devastados por, apesar de auditorias rigorosas e da adesão às melhores práticas, termos sido vítimas desse vetor de ataque emergente e altamente complexo. Estamos fazendo todo o possível para recuperar os ativos”, declarou o Departamento de Polícia dos EUA (USPD) à comunidade.

Segundo o CoinMarketCap, a paridade da stablecoin com o dólar americano não foi afetada até o momento, mas seu volume caiu 20% nas últimas 24 horas, para cerca de US$ 2,56 milhões.

As violações de segurança em protocolos de stablecoins DeFi já foram muito maiores do que a que o USPD enfrentou, incluindo um ataque à Euler Finance em 2023 que resultou em perdas de mais de US$ 197 milhões após o esgotamento das stablecoins de seus fundos de empréstimo. 

Dois protocolos DeFi em modo de recuperação após explorações de novembro

Na última segunda-feira, o Yearn Finance tornou-se o protocolo mais recente a sofrer um ataque exploratório em seu token de índice de staking líquido, o yETH. O criminoso cunhou um número praticamente ilimitado de tokens e roubou cerca de US$ 3 milhões em ETH. 

A Yearn Finance sofreu um ataque hacker de US$ 9 milhões em seu pool de stablecoins yETH em 30 de novembro, mas, como relatado na quarta-feira, já começou a recuperar os fundos roubados. Até o momento, a equipe recuperou com sucesso US$ 2,39 milhões, que serão devolvidos aos depositantes afetados.

A Balancer, outro protocolo DeFi que perdeu US$ 128 milhões devido a uma violação de segurança na versão 2, anunciou na semana passada planos para reembolsar aproximadamente US$ 8 milhões aos provedores de liquidez.

Ganhe até US$ 30.050 em recompensas comerciais ao se inscrever na Bybit hoje