Saiba mais sobre o ataque de sequestro de DNS à Aerodrome na rede Base. Perceba como as vulnerabilidades no frontend podem expor ativos cripto, conheça relatos de utilizadores sobre tentativas de phishing e descubra as práticas fundamentais de segurança em DeFi para proteger os seus ativos digitais contra ameaças sofisticadas.
DNS Hijacking obriga à ativação de protocolo de emergência
A Aerodrome Finance, a principal exchange descentralizada (DEX) na blockchain Base, enfrentou recentemente um sofisticado ataque de DNS hijacking que comprometeu a sua infraestrutura de domínios centralizada. A violação expôs os utilizadores a tentativas de phishing, direcionadas para NFT, ETH e USDC através de pedidos de assinatura maliciosos integrados na interface frontend sequestrada.
A investigação ao incidente de segurança começou quando a equipa técnica da Aerodrome detetou atividade anómala no domínio principal, cerca de seis horas antes de emitir os alertas públicos à comunidade. Esta deteção precoce foi crucial para limitar os danos potenciais, já que permitiu à equipa implementar medidas de resposta de emergência antes de o ataque atingir o seu auge.
Perante a gravidade da situação, o protocolo sinalizou de imediato o fornecedor de domínios, Box Domains, como potencialmente comprometido e solicitou uma investigação urgente. O DNS hijacking constitui um dos vetores de ataque mais perigosos no DeFi, pois permite redirecionar utilizadores legítimos para sites maliciosos sem que estes se apercebam, contornando grande parte das defesas tradicionais.
Poucas horas após a deteção inicial, a equipa confirmou que ambos os domínios centralizados — extensões .finance e .box — tinham sido sequestrados e continuavam sob o controlo dos atacantes. O comprometimento de dois domínios revelou um ataque sistemático à infraestrutura da Box Domains, em contraste com um incidente isolado dirigido a uma plataforma específica.
O protocolo respondeu com decisão, encerrando o acesso a todos os URL principais para evitar nova exposição dos utilizadores à interface fraudulenta. Em simultâneo, a equipa disponibilizou duas alternativas seguras e verificadas para aceder à plataforma: aero.drome.eth.limo e aero.drome.eth.link. Estes espelhos descentralizados utilizam o Ethereum Name Service (ENS), que opera de forma independente dos sistemas DNS tradicionais e é estruturalmente resistente ao tipo de ataque que afetou os domínios centralizados.
Durante todo o incidente, a equipa sublinhou um aspeto essencial para preservar a confiança dos utilizadores: a segurança dos smart contracts manteve-se intacta. A violação limitou-se aos pontos de acesso da interface, pelo que a lógica do protocolo e os fundos dos utilizadores em smart contracts não estiveram sob ameaça direta. Esta distinção é fundamental para compreender a diferença entre ataques ao frontend e explorações aos smart contracts.
Para além disso, a Velodrome — protocolo associado à Aerodrome — enfrentou ameaças semelhantes na mesma altura, levando a equipa a emitir alertas paralelos sobre a segurança dos domínios. A coordenação destas advertências indica fortemente que os atacantes visaram sistematicamente a infraestrutura da Box Domains, tentando comprometer várias plataformas DeFi em simultâneo e afetando potencialmente um ecossistema mais amplo com o mesmo fornecedor de domínios.
Utilizadores relatam tentativas agressivas de drenagem multiativos
O impacto do DNS hijacking tornou-se claro através dos relatos pormenorizados dos utilizadores sobre a interação com a interface maliciosa. Um dos utilizadores afetados descreveu de forma detalhada a sua experiência, ocorrida antes de serem divulgados alertas oficiais. O testemunho revelou a sofisticação da metodologia utilizada pelos atacantes.
A interface comprometida executou um ataque em duas fases, desenhado para explorar a confiança dos utilizadores em ambientes familiares. Numa primeira abordagem, o site sequestrado solicitava uma assinatura aparentemente inofensiva, contendo apenas o número "1". Este pedido servia para estabelecer a ligação inicial à wallet e induzir uma sensação de legitimidade e segurança.
De imediato após esta aprovação, a interface maliciosa desencadeava uma série de pedidos de aprovação ilimitada para vários tipos de ativos, incluindo NFT, ETH, USDC e WETH. Esta estratégia rápida visava sobrecarregar os utilizadores e explorar a confiança gerada pelo pedido inicial, numa típica tática de engenharia social em operações de phishing avançadas.
A vítima demonstrou rigor ao documentar todo o ataque, recorrendo a capturas de ecrã e gravações de vídeo, registando desde o pedido inicial de assinatura até às várias tentativas de drenagem. Estes materiais constituíram provas valiosas para a investigação da equipa Aerodrome e para a perceção da ameaça por parte da comunidade.
Reconhecendo a complexidade técnica do ataque, o utilizador realizou uma investigação própria, com apoio de IA, analisando configurações do browser, extensões, definições de DNS e endpoints RPC. Esta análise permitiu excluir outros vetores de ataque, concluindo que o padrão observado correspondia inequivocamente ao método de DNS hijacking, e não a malware, comprometimento do browser ou outras ameaças comuns.
O episódio repercutiu-se junto de outro membro da comunidade, que relatou uma experiência recente de drenagem distinta, identificando-se como veterano em criptomoedas e programador full-stack. O testemunho evidenciou que mesmo utilizadores tecnicamente experientes e conscientes da segurança podem ser vítimas de ataques sofisticados que exploram vulnerabilidades subtis na experiência do utilizador.
Apesar da sua experiência técnica, este utilizador perdeu fundos significativos e dedicou três dias a desenvolver um script especializado, baseado em bundles Jito, para recuperar ativos roubados via operações stealth on-chain. Com este esforço, conseguiu recuperar cerca de 10-15% dos fundos, demonstrando os desafios da recuperação e o potencial das contramedidas técnicas quando os atacantes deixam padrões exploráveis.
Estes exemplos mostram a crescente complexidade dos ataques ao frontend e a necessidade de vigilância, mesmo em ambientes familiares. Evidenciam também o valor da partilha de conhecimento comunitário para compreender e mitigar novas ameaças à segurança no ecossistema DeFi.
Mês recente regista perdas mínimas com hacks cripto em 2024
O incidente da Aerodrome ocorreu num momento de referência para a segurança do mercado de criptomoedas, com o setor a registar o valor mensal mais baixo de perdas por ataques em 2024. Esta tendência positiva contextualiza a gravidade dos incidentes individuais, face à melhoria das práticas de segurança em todo o ecossistema.
Segundo dados da empresa de segurança PeckShield, apenas 18,18 milhões $ foram roubados em 15 incidentes distintos, representando uma queda de 85,7% em relação aos 127,06 milhões $ do mês anterior. Esta redução sugere que práticas de segurança mais rigorosas, resposta aprimorada a incidentes e menor atividade dos atacantes contribuíram para um ambiente mais seguro.
Analisando os dados, a PeckShield indicou que, não fosse um exploit tardio direcionado à Garden Finance, as perdas do período teriam ficado próximas dos 7,18 milhões $, o valor mensal mais baixo desde o início de 2023, sugerindo um ponto de viragem na luta contra as ameaças à segurança.
A análise revelou que três incidentes principais representaram a maioria das perdas registadas: Garden Finance, Typus Finance e Abracadabra totalizaram 16,2 milhões $ do montante roubado, ilustrando como poucos exploits significativos dominam as estatísticas mensais de segurança.
A Garden Finance, protocolo peer-to-peer de Bitcoin, divulgou no final do mês que foi explorada em mais de 10 milhões $. O ataque ocorreu quando um dos seus solvers — entidades que facilitam operações do protocolo — foi comprometido. O projeto esclareceu que apenas o inventário do solver foi afetado, não os fundos dos utilizadores nos smart contracts, limitando o impacto.
A Typus Finance foi alvo de um ataque de manipulação de oráculos a meio do mês, perdendo cerca de 3,4 milhões $ dos pools de liquidez. A equipa identificou uma falha crítica num contrato TLP (Token Liquidity Pool) como origem do exploit. O impacto no mercado foi imediato, com o token nativo a desvalorizar cerca de 35% após a divulgação. Ataques de manipulação de oráculos são especialmente preocupantes no DeFi, pois comprometem os feeds de preços essenciais ao funcionamento dos protocolos.
A plataforma de empréstimos Abracadabra sofreu o terceiro exploit desde o lançamento, resultando em perdas de cerca de 1,8 milhões $ do stablecoin MIM. Os hackers exploraram uma vulnerabilidade em smart contract para contornar as verificações de solvência, levantando questões sobre o rigor das auditorias de segurança e os desafios da manutenção de código seguro em protocolos DeFi complexos.
Estes incidentes, apesar das perdas individuais significativas, demonstram a variedade de vetores de ataque que continuam a afetar protocolos DeFi — desde manipulação de oráculos e vulnerabilidades em smart contracts até compromissos de solvers e ataques à interface. O total relativamente baixo sugere avanços nas práticas de segurança, embora a persistência de exploits graves indique que o ecossistema precisa de reforço contínuo.
Perguntas Frequentes
O que é a Aerodrome e qual o seu papel na blockchain Base?
A Aerodrome é a principal exchange descentralizada (DEX) da Base, que permite a troca de tokens, provisão de liquidez e yield farming. Facilita trading eficiente e alocação de capital no ecossistema Base através do seu mecanismo automatizado de market maker.
Qual é a vulnerabilidade de segurança na interface frontend? Como afetou a proteção dos fundos dos utilizadores?
A violação comprometeu o acesso ao DEX, expondo dados de sessão e detalhes de transações. Contudo, os fundos mantiveram-se seguros nos smart contracts, pois a vulnerabilidade não afetou a camada blockchain. Os utilizadores registaram interrupções temporárias do serviço, sem perda direta de ativos.
Que medidas de emergência devem ser adotadas por utilizadores da Aerodrome para proteger os seus fundos?
Desconectar imediatamente as wallets, revogar aprovações de tokens via exploradores blockchain, transferir ativos para wallets de autocustódia seguras, ativar proteção multi-assinatura, monitorizar contas para transações não autorizadas e evitar a interface afetada até confirmação dos patches de segurança.
Qual a diferença entre vulnerabilidades na interface frontend e nos smart contracts? Qual representa maior risco?
As vulnerabilidades frontend afetam as interfaces e podem originar phishing ou roubo de dados. Vulnerabilidades em smart contracts comprometem fundos e transações on-chain. Estas representam maior risco, pois podem causar perda permanente de ativos, enquanto as brechas na interface geralmente afetam apenas dados de utilizador.
Já ocorreram ataques semelhantes à interface frontend de DEX? Como podem ser evitados?
Sim, ataques à interface já afetaram várias DEX. Para prevenção, recomenda-se: utilizar hardware wallets, verificar cuidadosamente os URL, ativar extensões de verificação de domínios, consultar registos DNS e aceder apenas a links oficiais das aplicações. Segurança multi-assinatura e auditorias regulares reforçam a proteção contra este tipo de brechas.
O incidente evidencia a necessidade de auditorias rigorosas à interface em todas as DEX da Base. Outras plataformas devem reforçar medidas de segurança, implementar proteção multinível e realizar avaliações regulares para prevenir compromissos semelhantes e proteger os ativos dos utilizadores.
* As informações não se destinam a ser e não constituem aconselhamento financeiro ou qualquer outra recomendação de qualquer tipo oferecido ou endossado pela Gate.
