Um Ataque de Empréstimo Relâmpago Dirigido Exposta Linhas de Falha na Liquidez de Stablecoins

O exploit de 4,2 milhões de dólares em DUSD foi um ataque de empréstimo relâmpago de precisão que manipulou suposições de preços de curto prazo, drenando um único pool da Curve sem comprometer o sistema mais amplo de stablecoins.

O incidente destaca uma vulnerabilidade recorrente no DeFi, onde liquidez profunda e dependências de oráculos podem tornar-se passivos sob desequilíbrios de capital extremos e de curta duração.

Embora a rápida contenção da Makina tenha limitado a propagação, o evento reforça que o risco de LP em pools de stablecoins é estruturalmente diferente do risco de simples detenção de tokens.

Um ataque direcionado de empréstimo relâmpago ao pool DUSD/USDC da Curve da Makina mostra como a liquidez de stablecoins, o design de oráculos e a liquidez relâmpago podem combinar-se para criar risco concentrado para os LPs.

O INCIDENTE

Nas primeiras horas de 20 de janeiro, um ataque de empréstimo relâmpago altamente direcionado drenou aproximadamente 4,2 milhões de dólares do pool de liquidez DUSD/USDC na Curve, marcando um dos exploits de stablecoin mais precisos tecnicamente de início de 2026 e sublinhando como a composabilidade, embora poderosa, continua a criar superfícies de ataque quando as dependências de oráculos e suposições de liquidez não se alinham perfeitamente.

DUSD, uma stablecoin multi-chain emitida pela Makina Finance, não foi atacada através do seu mecanismo central de cunhagem–resgate, mas por meio de um único local de liquidez, onde um atacante emprestou aproximadamente $280 milhões em USDC via empréstimos relâmpago, distorcendo temporariamente os inputs de preços referenciados por oráculo, inflando o valor aparente de uma posição de liquidez e extraindo os ativos disponíveis do pool antes que o sistema pudesse reequilibrar-se, saindo com fundos equivalentes a cerca de 1.299 ETH na altura do exploit.

Crucialmente, o incidente não comprometeu o fornecimento mais amplo de DUSD ou os utilizadores que simplesmente detinham DUSD, posições Pendle ou exposição Gearbox, uma distinção que a Makina destacou nas comunicações pós-incidente, mas a rapidez e precisão do drenamento deixaram claro que até pools bem isolados podem tornar-se pontos únicos de falha quando a concentração de capital, a latência do oráculo e a liquidez relâmpago se intersectam.

COMO O ATAQUE FUNCIONOU

A nível técnico, o exploit seguiu um padrão cada vez mais familiar para investigadores de segurança DeFi, mas com execução refinada para um alvo estreito: ao injetar uma quantidade enorme e de curta duração de USDC no pool DUSD/USDC da Curve, o atacante conseguiu manipular as suposições de preços nas logicias subsequentes, criando a ilusão de liquidez excessiva e permitindo arbitragem lucrativa dentro de um único pacote de transações.

Como os empréstimos relâmpago não requerem capital inicial e devem ser reembolsados dentro do mesmo bloco, o atacante assumiu risco direcional mínimo, explorando em vez disso a distorção temporal de preços, uma classe de vulnerabilidade que tem surgido repetidamente no DeFi quando pools dependem de feeds de preços que podem ser distorcidos por desequilíbrios de curto prazo, em vez de agregação ponderada pelo tempo ou multi-fontes.

O resultado não foi um colapso sistêmico, mas uma extração limpa: aproximadamente 5,1 milhões de dólares em equivalente USDC, como posteriormente divulgado pela Makina, foram desviados do pool, deixando os provedores de liquidez totalmente expostos enquanto a infraestrutura mais ampla do protocolo permanecia intacta.

CONFINAMENTO E RESPOSTA

A resposta da Makina foi notável pela sua rapidez e abrangência, refletindo lições aprendidas em crises anteriores do DeFi: a equipa confirmou imediatamente que o exploit estava isolado ao pool DUSD/USDC da Curve, realizou uma captura de estado pré-ataque dos saldos dos provedores de liquidez e ativou um modo de recuperação que permitiu aos LPs afetados retirar unilateralmente para DUSD enquanto se avaliavam opções de remediação a longo prazo.

Em declarações públicas divulgadas em 21 de janeiro, a Makina indicou que tinha identificado pistas relacionadas com a identidade on-chain do atacante e estava ativamente tentando envolver-se, além de comprometer-se a reabrir a funcionalidade de resgate e fornecer caminhos de saída alternativos para os provedores de liquidez assim que as salvaguardas estivessem implementadas, uma estratégia destinada a evitar uma propagação de pânico em outros locais.

Esta abordagem contrasta fortemente com incidentes anteriores do DeFi, onde comunicações atrasadas e escopo pouco claro aumentaram as perdas, e destaca como a maturidade operacional—mais do que a prevenção absoluta de exploits—se tornou um fator diferenciador entre os protocolos que gerem infraestrutura de stablecoin.

SINAIS DE MERCADO E MEMÓRIA DE LIQUIDEZ

O que torna o episódio DUSD particularmente instrutivo é o contraste entre o exploit e a narrativa de liquidez anterior do DUSD: apenas meses antes, em setembro de 2025, o par DUSD/USDT na PancakeSwap tinha liderado as classificações de TVL da plataforma com $129 milhões, com um volume de 24 horas de 82,11 milhões de dólares e $439 milhões ao longo de sete dias, posicionando o DUSD como um dos pares de stablecoin mais ativamente utilizados dentro de certos ecossistemas de negociação.

Esse contexto histórico importa, porque ilustra como a profundidade de liquidez, embora muitas vezes interpretada como um sinal de estabilidade, também pode tornar-se um ímã para ataques de precisão quando o capital está suficientemente concentrado e os incentivos económicos se alinham, especialmente em pools onde a paridade de stablecoins é assumida em vez de continuamente testada sob stress.

Neste sentido, o exploit não invalida o DUSD como uma stablecoin, mas reforça uma lição recorrente do DeFi: liquidez não é sinónimo de segurança, e os próprios pools que parecem mais resilientes em condições normais podem tornar-se alvos ideais em condições adversas.

UMA LIÇÃO MAIS AMPLA SOBRE STABLECOINS

Para além da perda imediata, o ataque de empréstimo relâmpago ao DUSD evidencia um desafio estrutural que os stablecoins on-chain enfrentam à medida que escalam entre cadeias e protocolos: enquanto a composabilidade permite crescimento rápido e eficiência de capital, também cria gráficos de dependência complexos nos quais falhas localizadas podem produzir resultados desproporcionais para grupos específicos de utilizadores.

À medida que reguladores, instituições e fornecedores de infraestrutura aumentam a sua fiscalização sobre os stablecoins não apenas como instrumentos, mas como camadas de pagamento e liquidação, incidentes como este acentuam a distinção entre solvência do protocolo e risco ao nível do local, uma nuance frequentemente negligenciada por utilizadores que buscam rendimento em pools de liquidez sem considerar completamente o design de oráculos, mecânicas de retirada ou cenários de stress adversos.

O fato de os detentores de DUSD fora do pool afetado permanecerem ilesos pode, em última análise, jogar a favor da Makina, mas o episódio reforça que a próxima fase de estabilidade do DeFi dependerá menos de números de TVL de destaque e mais de como os protocolos arquitetam os seus elos mais fracos, particularmente onde a liquidez relâmpago e a descoberta de preços colidem.

Read More：

O que são empréstimos relâmpago? Guia para iniciantes

De Empréstimos Relâmpago a Banco Global: A história da Aave

〈Um ataque direcionado de empréstimo relâmpago expõe linhas de falha na liquidez de stablecoins〉Este artigo foi publicado originalmente na 《CoinRank》.