Analise os principais riscos de segurança associados ao PAXG: vulnerabilidades em smart contracts, exemplificadas pelo exploit de 230 000$ no Morpho Protocol; vetores de ataque à rede que resultam em flash crashes de 22%; e riscos de custódia centralizada decorrentes de penalizações regulatórias aplicadas à Paxos. Esta avaliação de risco é indispensável para líderes de segurança empresarial e gestores de portfólios.
Configuração incorreta do Oracle e Morpho Protocol: perda de 230 000$ expõe vulnerabilidades dos smart contracts no ecossistema PAXG
Em outubro de 2023, o Morpho Protocol registou um incidente de segurança relevante, expondo fragilidades críticas na forma como as plataformas DeFi gerem ativos tokenizados como o Paxos Gold. Uma configuração incorreta do oracle no mercado PAXG/USDC permitiu que um atacante explorasse um erro na definição dos decimais, transformando apenas 350$ em 230 000$ em levantamentos não autorizados. Este caso ilustra as vulnerabilidades dos smart contracts que podem afetar gravemente carteiras de criptomoedas, mesmo quando as falhas técnicas parecem menores.
A origem do problema esteve num SCALE_FACTOR incorreto nos cálculos de preço do oracle. O USDC utiliza 6 casas decimais, enquanto o PAXG recorre a 18, mas o oracle do protocolo foi configurado para tratar ambos como se tivessem 8 casas decimais. Esta diferença de 12 casas decimais levou a uma sobrevalorização massiva do PAXG—por um fator de 10^12—permitindo ao atacante fornecer uma garantia mínima em PAXG e contrair empréstimos avultados em USDC. O Morpho Protocol confirmou que este caso foi isolado a um mercado permissionless com parâmetros errados, evidenciando como a governança descentralizada pode introduzir vulnerabilidades no ecossistema PAXG e em plataformas DeFi semelhantes.
Este exploit demonstra que as vulnerabilidades dos smart contracts residem frequentemente em detalhes técnicos. Mesmo programadores experientes em DeFi podem não detetar incompatibilidades de decimais ou falhas de lógica nos oracles, criando pontos exploráveis. Para detentores e investidores de PAXG, este caso reforça a necessidade de monitorizar as configurações dos oracles e a precisão dos feeds de preço em todas as plataformas com ouro tokenizado.
Flash Crash e manipulação de liquidez: compreender a queda de 22% do preço e os vetores de ataque à rede
Em 2026, o PAXG registou um flash crash de 22% que expôs vulnerabilidades críticas na forma como ativos tokenizados do mundo real se comportam em mercados de criptomoedas com alavancagem. Este ataque à estabilidade de preços propagou-se por bolsas centralizadas e protocolos descentralizados, originando respostas divergentes e revelando fragilidades estruturais profundas. O crash resultou de uma falha única no Oracle, que levou o PAXG a perder o seu peg ao valor do ouro, despoletando liquidações em cascata nos pares de negociação com elevada alavancagem sobre um ativo considerado estável.
A dinâmica desta manipulação de liquidez foi reveladora. Ao fornecer dados de preço incorretos, o Oracle do PAXG originou chamadas de margem inesperadas nos contratos perpétuos, forçando liquidações que intensificaram a pressão descendente. Os arbitradores—que normalmente lucrariam ao adquirir PAXG desvalorizado para resgate a preços superiores do ouro—retiraram liquidez, já que os market makers identificaram riscos sistémicos. Protocolos de lending on-chain evidenciaram maior resiliência devido à utilização de oracles descentralizados, que agregam dados de diversas fontes em vez de dependerem de um único feed. Esta diferença entre a resiliência das DEX e a vulnerabilidade das plataformas centralizadas demonstrou como a estrutura de mercado condiciona diretamente a descoberta de preços. A queda de 22% demonstrou que a introdução de derivados muito alavancados em ativos tidos como estáveis altera radicalmente a sua função, transformando-os em vetores de contágio nos mercados cripto interligados.
Sanções regulatórias à Paxos e ponto único de falha: análise da multa de 500 000$ do NYDFS e riscos da custódia centralizada
As ações regulatórias evidenciam vulnerabilidades relevantes na estrutura operacional do PAXG. Em agosto de 2025, a Paxos foi sancionada com uma multa de 26,5 milhões de dólares pelo Departamento de Serviços Financeiros de Nova Iorque devido a falhas em matéria de prevenção de branqueamento de capitais e diligência insuficiente, especialmente nas suas parcerias. Estes incumprimentos mostram como a custódia centralizada depende integralmente da robustez regulatória e operacional de um único custodiante.
O acordo com o NYDFS destacou lacunas na diligência sobre clientes e nos sistemas de monitorização de transações—mecanismos essenciais para a proteção dos titulares de criptomoeda. Estas sanções afetam diretamente os detentores de PAXG, pois o valor do token depende de operações de custódia contínuas e sem interrupções. Se a pressão regulatória aumentar ou se surgirem novas falhas de compliance, as autoridades poderão impor restrições ou mesmo suspender a emissão, criando um ponto único de falha.
A custódia centralizada concentra o risco. Os tokens PAXG são lastreados em ouro físico armazenado em cofres de Londres, mas o resgate e gestão passam pela infraestrutura da Paxos. O controlo administrativo dos smart contracts e das decisões de custódia pertence a um único agente. Ao contrário de sistemas descentralizados assentes em verificação distribuída, os detentores de PAXG não conseguem verificar autonomamente os seus ativos nem ultrapassar decisões do custodiante. Encerramentos regulatórios ou falhas operacionais na Paxos poderiam impedir o acesso ao ouro subjacente, mesmo perante uma titularidade legítima.
Perguntas Frequentes
Quais são as vulnerabilidades conhecidas ou riscos potenciais nos smart contracts do PAXG?
Os smart contracts do PAXG estão sujeitos a ataques de reentrancy e ao risco de roubo de fundos. Auditorias regulares permitem identificar e corrigir estas vulnerabilidades. O contrato foi auditado por entidades independentes para mitigar riscos e reforçar a segurança operacional.
De que forma a custódia centralizada afeta a segurança dos fundos dos investidores PAXG?
A custódia centralizada implica risco de contraparte, pois os fundos dependem das medidas de segurança de um único custodiante. Entre as potenciais vulnerabilidades contam-se hacking, má gestão e falhas operacionais. Esta concentração representa um ponto único de falha, ao contrário de modelos de custódia distribuída que dispersam o risco por vários validadores.
Que tipos de ataques de rede enfrenta o PAXG, como ataques de 51% e flash loan?
O PAXG pode ser alvo de ataques de 51% e de ataques flash loan, ameaças comuns ao ecossistema. Estes ataques podem comprometer a integridade das transações e a segurança da rede. Contudo, a infraestrutura do PAXG incorpora medidas de segurança para mitigar estes riscos e proteger os ativos.
Como avaliar o nível de segurança e os riscos do PAXG? Que relatórios de auditoria de segurança existem?
A segurança do PAXG baseia-se em auditorias independentes realizadas por empresas como a CertiK, no lastro em ouro físico por custodiante profissional e no cumprimento das normas regulatórias. Cada token corresponde a uma onça de ouro auditada e armazenada em segurança.
Como diferem os riscos de segurança do PAXG em relação a outros tokens de ouro, como GLD e IAU?
O PAXG apresenta riscos de segurança inferiores devido à custódia regulamentada e auditorias transparentes. GLD e IAU dependem de modelos de confiança tradicionais. Os principais riscos do PAXG são as vulnerabilidades dos smart contracts e a dependência da plataforma, enquanto os tokens tradicionais de ouro enfrentam concentração de custodiante e potenciais alterações regulatórias.
Quais as medidas de proteção de risco a adotar ao investir em PAXG?
Utilize carteiras de autocustódia seguras, ative a autenticação de dois fatores, verifique auditorias aos smart contracts, monitorize a reputação do custodiante, diversifique detenções e mantenha-se atento a atualizações regulatórias e de segurança da rede.
* As informações não se destinam a ser e não constituem aconselhamento financeiro ou qualquer outra recomendação de qualquer tipo oferecido ou endossado pela Gate.
