Primeiro grande hack de 2026: o protocolo Truebit perde US $ 26,4 milhões devido à vulnerabilidade do contrato inteligente

Este é o primeiro grande hack DeFi documentado de 2026, destacando os riscos de segurança em curso no ecossistema Ethereum, mesmo para projetos com uma longa história. De acordo com os dados da CertiK, as transacções suspeitas foram detectadas ontem, 8 de janeiro, e o hacker retirou fundos com sucesso através de uma exploração num contrato inteligente antigo.

O Truebit Protocol é uma plataforma para verificação de cálculos no Ethereum, que usa o token TRU para incentivar os participantes da rede. O projeto existe desde 2020, mas a vulnerabilidade estava escondida em um contrato desatualizado (endereço: 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2), que não passou por auditoria ou atualizações adequadas. Como resultado do ataque, o preço do token TRU caiu quase 100%, de US $ 0,16 para praticamente zero (US $ 0,0000000029), eliminando a capitalização de mercado e a liquidez do projeto.

Como é que o Hack ocorreu exatamente?

O exploit foi baseado num erro de overflow na função getPurchasePrice() do contrato inteligente. Esta função calcula o preço de cunhagem (criação) de tokens TRU com base numa fórmula que inclui o fornecimento total de tokens, a reserva de ETH e o montante que o utilizador pretende comprar. Especificamente:

• A fórmula calcula variáveis como v9 = 200 * total_supply * quantidade * reserva e v12 = 100 * quantidade * quantidade * reserva.
• Em seguida, v9 + v12 é adicionado e o resultado é dividido por outra variável (v6).
• O problema surge com valores grandes do parâmetro "amount": a soma v9 + v12 excede o valor máximo para um inteiro de 256 bits (2^256), levando a um estouro. No Solidity (a linguagem de contrato inteligente para o Ethereum), isto envolve o valor num número pequeno, tornando o preço do token praticamente nulo.

O pirata informático explorou este facto introduzindo um grande valor de "montante" para cunhar um número ilimitado de fichas TRU a um custo mínimo (quase de graça). Esses tokens foram então vendidos em pools de liquidez no Uniswap ou plataformas semelhantes, trocando-os por ETH das reservas do protocolo. O processo repetia-se num ciclo: cunhagem > venda > drenagem de ETH. O hacker principal (endereço: 0x6C8EC8f14bE7C01672d31CFa5f2CEfeAB2562b50) extraiu a quantia principal, enquanto um segundo levou cerca de US $ 250,000.

Curiosamente, os hackers realizaram pequenos ataques de teste ao longo de vários meses(de $ 2,000 a $ 15,000) antes de ir para o grande sucesso.

A equipa da Truebit confirmou o incidente e aconselhou os utilizadores a evitarem interagir com o contrato vulnerável. Eles estão cooperando com a aplicação da lei para uma investigação, mas as chances de recuperar os fundos são baixas, como costuma acontecer nos hacks DeFi. Os analistas da Lookonchain e da Cyvers observam que este é um exemplo típico de uma vulnerabilidade no código antigo: os contratos antigos são frequentemente ignorados, mas continuam a ser um alvo atrativo para os piratas informáticos.

Implicações para o mercado

Este hack tornou-se o primeiro golpe sério para a DeFi em 2026, lembrando-nos das vulnerabilidades mesmo em projectos "estabelecidos". As perdas totais de hacks em criptografia em 2025 excederam US $ 2 bilhões, e a tendência continua. Os investidores são aconselhados a verificar as auditorias dos contratos e a evitar protocolos menos conhecidos. É improvável que o Truebit se recupere, mas o evento pode incentivar melhores práticas de segurança no setor, como auditorias regulares e migração para novos contratos.