Projeto 0 promete reembolsos após comprometimento do GitHub desencadear ataque de phishing a utilizadores de DeFi

Num alerta partilhado pelo fundador do Project 0 (P0), MacBrennan Peet, o executivo comprometeu-se a reembolsar totalmente as perdas confirmadas depois de os atacantes terem infiltrado o seu sistema para redirecionar as visitas dos utilizadores ao seu site para um site de roubo de criptomoedas.

A publicação de MacBrennan confirmou que pelo menos um utilizador perdeu $1.000 quando experimentou o novo site "por curiosidade".

O incidente de segurança que visou o Project 0 agrava os números recordes de roubos de criptomoedas por agentes maliciosos que exploram a atualização Fusaka, que deveria tornar as taxas de transação uma preocupação secundária para os utilizadores da rede Ethereum, acrescentando-se a um padrão de ataques direcionados a locais ricos em liquidez.

Project 0 reporta o mais recente sequestro de domínio DeFi

De acordo com a divulgação de MacBrennan, os atacantes obtiveram acesso à conta GitHub de um membro da equipa da aplicação, o que lhes permitiu redirecionar as visitas dos utilizadores entre as 21:45 e as 22:19. 

Embora não tenha especificado o seu fuso horário, os utilizadores que tentaram visitar o site do Project 0 durante a janela de ataque de 40 minutos foram direcionados para outro site que levou à perda de pelo menos $1.000. 

Segundo dados da Defillama, o Project 0, uma corretora prime nativa de DeFi que permite aos utilizadores pedir empréstimos contra todo o seu portfólio DeFi em vários locais, detém atualmente quase $90 milhões em valor total bloqueado (TVL), atingindo um pico acima de $110 milhões desde que o acompanhamento começou no final de 2025. O projeto também afirma ter o apoio da Multicoin, Pantera e Solana Ventures. 

Esse nível de atividade e estatuto, embora atrativo para os utilizadores, é também um farol para atacantes à procura de alvos de alto valor. 

A Cryptopolitan reportou que a OpenEden e a BonkFun sofreram ataques semelhantes quando os atacantes comprometeram domínios registados nos projetos. 

Em ambos os casos, o ataque não afetou os cofres dos projetos ou as posições dos utilizadores, uma vez que os danos neste tipo de ataques estão normalmente limitados aos visitantes do site durante a janela de exploração, que é geralmente rapidamente mitigada por equipas responsivas. 

Embora o montante exato perdido ainda não esteja confirmado, MacBrennan comprometeu-se a estender o reembolso a quaisquer outras perdas verificadas de clientes durante o ataque. 

Utilizadores de Ethereum tornam-se alvos de ataques de envenenamento de endereços

Quando os programadores de Ethereum avançaram com a atualização Fusaka em dezembro de 2025, apresentaram a atualização como o "chefe final" para tornar as transações na mainnet acessíveis. 

O que não previram foi que se tornaria a peça final do puzzle para atacantes que perseguem alvos de alto valor no ecossistema Ethereum rico em liquidez, que detém quase $60 mil milhões em protocolos DeFi e mais de $160 mil milhões em capitalização de mercado de stablecoins.  

A conta oficial da Etherscan no X denunciou a ameaça crescente no seu artigo "Os Ataques de Envenenamento de Endereços Estão a Aumentar no Ethereum". O relatório citou um estudo de 2025 comparando tentativas de envenenamento antes e depois da atualização Fusaka para destacar a proliferação destes ataques desde a atualização de dezembro. 

As transferências de dust, que são pequenos depósitos (abaixo de $0,01) destinados a substituir endereços no histórico de transações dos utilizadores por carteiras controladas pelos atacantes, seguiram a tendência, uma vez que a atividade de transações na mainnet do Ethereum aumentou cerca de 30% em geral nos 90 dias seguintes à atualização Fusaka, com um aumento acompanhante de 78% em criações de novos endereços. 

Tabela comparando a taxa de ataques de envenenamento de endereços antes e depois da atualização Fusaka. 

É um jogo de números

A Cryptopolitan reportou várias perdas de alto perfil para o novo flagelo dos utilizadores de Ethereum, com a perda de $50 milhões de dezembro a criar a maior manchete. Aparentemente, a vítima do incidente enviou efetivamente $50 numa transação de teste para ter a certeza de que tinha o endereço correto. 

No entanto, no tempo que levou a testar o endereço e iniciar a transferência real de $50 milhões, os agentes maliciosos pontuaram o histórico de transações do remetente com as suas próprias transferências de dust, o que acabou por levar à perda. 

Esse incidente destaca a escala e velocidade destas operações, uma vez que os atacantes competem efetivamente para super-envenenar os endereços de potenciais vítimas. Como a Etherscan destacou, "apenas duas transferências de stablecoin" por um utilizador do seu serviço desencadearam "mais de 89 e-mails de alerta de vigilância de endereços". 

Apenas cerca de 1 em 10.000 tentativas são bem-sucedidas, mas quando se comparam os $79 milhões em perdas confirmadas em 17 milhões de tentativas visando cerca de 1,3 milhões de utilizadores, as contas fecham para estes atacantes, que incorrem em menos de $1 em cada tentativa. 

Não se limite a ler notícias sobre criptomoedas. Compreenda-as. Subscreva a nossa newsletter. É gratuita.