Hackers estão roubando contratos inteligentes esquecidos: US$ 17 milhões foram roubados em apenas 40 dias.

Em vez de visar protocolos novos e bem protegidos, os hackers estão atacando cada vez mais contratos inteligentes antigos e obsoletos, dos quais todos já se esqueceram. Nos últimos 40 dias (de 7 de maio a 15 de junho de 2026), os atacantes extraíram quase US$ 17 milhões de contratos considerados obsoletos, mas que permaneciam ativos na blockchain e possuíam valor econômico real.

Não se trata de uma série de incidentes isolados — é uma clara tendência emergente. Contratos obsoletos continuam a reter fundos, permissões, aprovações ou autoridade operacional muito tempo depois de as equipes terem deixado de os manter ou monitorizar.

Incidentes específicos nos últimos 40 dias

Aqui estão os cinco casos documentados publicamente que compõem esse total de aproximadamente US$ 17 milhões:

TrustedVolumes (Ethereum)

A TrustedVolumes, provedora de liquidez e formadora/resolvedora de mercado usada pela 1inch Fusion, teve seu saldo esgotado devido a uma vulnerabilidade em seu proxy de swap RFQ personalizado. O atacante contornou uma barreira de autorização e acessou um trecho de código que jamais deveria ser acessível a um usuário não confiável.

Os fundos roubados incluíam WETH, USDT, WBTC e USDC. Os ativos roubados foram posteriormente lavados por meio do Tornado Cash e outras plataformas de mistura. A 1inch esclareceu que seu protocolo principal não foi afetado.

Huma Finance V1 Pools (Polygon)

Os atacantes exploraram uma falha lógica na gestão do ciclo de crédito de contratos obsoletos da versão 1 do BaseCreditPool. Eles realizaram saques não autorizados, drenando aproximadamente 82.316 USDC + 19.075 USDC.e.

Os fundos já estavam em processo de encerramento. A Huma Finance suspendeu rapidamente os contratos afetados, publicou um relatório pós-incidente e confirmou que seu sistema V2 na Solana e os fundos dos usuários na plataforma atual não foram afetados.

Armário DxSale V1 (Corrente BNB)

A maior perda do período. Os atacantes drenaram mais de 1.400 pools de liquidez legados do antigo contrato de locker V1 (implantado em 2021).

A vulnerabilidade foi explorada devido a uma transferência de propriedade anterior do contrato de locker (269 dias antes), combinada com o abuso de privilégios de administrador — o atacante reduziu as taxas de modificação para 1 wei, redefiniu os registros de data e hora dos lockers e realizou saques em lote. Os lockers V2+ permaneceram seguros.

Raydium Legacy AMM V3 (Solana)

Hackers exploraram cinco pools de liquidez obsoletos no antigo programa AMM V3 da Raydium (descontinuado em 2021). A vulnerabilidade residia na validação insuficiente dos endereços de emissão de tokens dos provedores de liquidez.

O atacante criou uma fonte falsa de tokens SPL, cunhou um token LP falsificado e utilizou a função de saque legada para drenar a liquidez real. A Raydium confirmou o incidente e prometeu compensar integralmente os usuários afetados com recursos de seu tesouro. Os pools e usuários atuais não foram afetados.

Aztec Connect (Ethereum)

Dois ataques distintos, ocorridos em dias consecutivos, tiveram como alvo os contratos obsoletos do Aztec Connect (com descontinuação prevista para 2023). Os contratos eram imutáveis e as chaves de administrador já haviam sido revogadas.

Os atacantes exploraram uma falha na lógica de verificação de provas (incompatibilidade entre a validação de provas ZK e os mecanismos de liquidação/escape on-chain), drenando o valor retido que não podia mais ser pausado ou atualizado. A Aztec Labs não tinha controle sobre os contratos.

Segue uma tabela resumida para sua rápida consulta:

O que os projetos devem fazer: um processo adequado de desativação de contratos inteligentes

Simplesmente desativar a interface ou anunciar que um contrato está "obsoleto" não é suficiente. Um contrato só é verdadeiramente desativado quando o valor, as permissões e as suposições de confiança são completamente removidos.

Eis o que um processo de aposentadoria adequado deve incluir:

1. Remova todo o valor antes de remover a atenção. Retire todos os tokens, posições de liquidez e recompensas. Forneça aos usuários instruções claras de migração e incentivos. Nenhum sistema deve deixar de ser monitorado enquanto ainda puder custodiar ou movimentar ativos do usuário.
2. Revogar todas as permissões e privilégios. Realize um inventário completo e revogue as aprovações, os direitos de propriedade, os signatários, os retransmissores, os responsáveis pela guarda, os roteadores e quaisquer privilégios administrativos. "Não utilizamos mais este contrato" não significa que ele não possa mais movimentar fundos.
3. Implementar monitoramento para qualquer atividade (alertas de "ressurreição"). Configure alertas para novos depósitos em pools legados, aprovações para gastos antigos, alterações inesperadas de saldo, chamadas para funções inativas e atividades por meio de caminhos privilegiados esquecidos. Mantenha os contratos legados em programas de recompensa por bugs e monitoramento de segurança.
4. Tenha um plano claro para o cenário em que não haja atualização. Se um contrato for imutável ou as chaves de administrador tiverem sido renunciadas, você não poderá pausá-lo nem atualizá-lo. Nesses casos, reforce os incentivos à migração, forneça divulgações de risco claras e prepare um plano de resposta a incidentes pronto para ser executado.

Conclusão final

A próxima grande perda no DeFi pode não vir de um novo recurso brilhante. Pode vir de um contrato que uma equipe já anunciou ser antigo, mas que foi deixado economicamente ativo na blockchain.

As equipes de segurança se tornaram muito boas em analisar lançamentos. A próxima disciplina que o setor precisa é a análise de saídas.

Enquanto a descontinuação adequada de contratos não se tornar prática padrão, os contratos antigos continuarão sendo um dos alvos mais fáceis e atraentes para ataques.