A Extropy relata grandes ataques a criptomoedas em janeiro de 2026. Truebit perde $26M, violação de dados na Ledger expõe utilizadores, e ataques de phishing aumentam.
As duas primeiras semanas de 2026 trouxeram uma onda de incidentes de segurança em plataformas Web3.
A Extropy publicou o seu relatório Security Bytes documentando estes eventos. As conclusões retratam um quadro preocupante do panorama atual de ameaças.
De acordo com o relatório, os atacantes continuaram as suas operações durante a época festiva. Os danos variaram de exploits de vários milhões de dólares a campanhas sofisticadas de phishing.
Protocolo Truebit Perde $26 Milhões por Falha em Código Legado
O primeiro grande incidente do ano ocorreu no Protocolo Truebit a 8 de janeiro. Um atacante esvaziou aproximadamente $26 milhões num que a Extropy chama de exploit de “código zumbi”.
A vulnerabilidade derivou de um overflow de inteiro em contratos inteligentes legados. Estes contratos mais antigos não possuíam as proteções nativas contra overflow do Solidity moderno. O atacante cunhou milhões de tokens TRU a praticamente custo zero.
Uma vez criados, os tokens foram devolvidos ao protocolo. Toda a liquidez disponível desapareceu em horas. O preço do token TRU caiu quase 100% em apenas 24 horas.
A Extropy nota que o atacante moveu 8.535 ETH através do Tornado Cash imediatamente. Empresas de segurança ligaram posteriormente a carteira a um exploit anterior no Sparkle Protocol. Isto sugere um infrator recorrente que mira contratos abandonados.
O relatório alerta que contratos legados continuam a ser uma vulnerabilidade crítica. Os projetos devem monitorizar ou descontinuar ativamente códigos antigos.
TMXTribe Perde $1.4M em 36 Horas
Entre 5 e 7 de janeiro, a TMXTribe sofreu um ataque mais lento, mas igualmente devastador. A bifurcação GMX na Arbitrum perdeu $1.4 milhões ao longo de 36 horas contínuas.
A Extropy descreve o exploit como mecanicamente simples. Um ciclo cunhou tokens LP, trocou-os por stablecoins, e depois desestacou-os repetidamente. Os contratos não verificados impediram uma análise pública da falha exata.
O que mais preocupou os investigadores foi a resposta da equipa. Segundo o relatório, os desenvolvedores permaneceram ativos na cadeia durante todo o ataque. Eles implementaram novos contratos e executaram atualizações durante o esvaziamento.
No entanto, nunca ativaram uma função de pausa de emergência. A equipa enviou uma mensagem de recompensa na cadeia ao atacante em vez disso. O ladrão ignorou-a, transferiu fundos para a Ethereum, e lavou-os através do Tornado Cash.
A Extropy questiona se isto representa negligência ou algo pior. O relatório enfatiza que contratos não verificados servem como sinais de alerta para os utilizadores.
Nos primeiros dias de janeiro já vimos o espectro completo dos modos de falha do Web3: contratos zumbi a imprimir dinheiro, governança a transformar-se em guerra civil, forks não verificados a sangrar lentamente, fugas na cadeia de abastecimento a colocar utilizadores em risco físico, phishing que arma… https://t.co/ev1flKir3D
— Extropy.io (@Extropy) 13 de janeiro de 2026
Clientes da Ledger Enfrentam Riscos de Segurança Física
A 5 de janeiro, a Ledger confirmou uma violação de dados que afetou a sua base de clientes. A violação teve origem no processador de pagamentos Global-e, não na hardware da Ledger.
Nomes de clientes, endereços de envio, e informações de contacto foram comprometidos. A Extropy alerta que isto cria cenários que os especialistas em segurança chamam de “ataque de chave inglesa”. Os atacantes agora possuem uma lista de proprietários de carteiras de hardware de criptomoedas e as suas localizações.
O relatório nota uma ironia amarga. A Ledger foi criticada anteriormente por cobrar por funcionalidades de segurança. Agora, o seu processador de pagamentos expôs os utilizadores a perigos físicos sem custo.
A Extropy aconselha os utilizadores a esperarem tentativas sofisticadas de phishing. Os dados roubados permitem aos atacantes estabelecer confiança falsa através de comunicações personalizadas.
_Leitura Relacionada: _****Um Resumo dos Incidentes de Segurança em Torno das Carteiras Ledger
Campanha de Phishing MetaMask Esvazia $107,000
O investigador de segurança ZachXBT identificou uma operação de phishing sofisticada direcionada aos utilizadores do MetaMask. A campanha já esvaziou mais de $107,000 de centenas de carteiras.
As vítimas receberam emails profissionais alegando uma atualização obrigatória de 2026. As mensagens usaram modelos de marketing legítimos e apresentaram um logotipo do MetaMask modificado. A Extropy descreve o design do “chapéu de festa” do raposa como surpreendentemente festivo.
O esquema evitou pedir frases-semente. Em vez disso, solicitou aos utilizadores que assinassem aprovações de contratos. Isto permitiu aos atacantes mover tokens ilimitados das carteiras das vítimas.
Ao manter os roubos individuais abaixo de $2,000, a operação evitou alertas maiores. A Extropy enfatiza que assinaturas podem ser tão perigosas quanto chaves vazadas.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
