Edel Finance Exploit: dados on-chain mostram como um invólucro quase vazio quebrou um credor de ações tokenizadas
— By Tony Rabbit in News

Um token de ações da Alphabet com mercado zero na rede foi inflado cerca de 78x para drenar a Edel Finance por cerca de US$ 403.000. Rastreamos a transação de exploração e extraímos os dados colaterais que explicam por que funcionou.
Em 1º de julho de 2026, um invasor drenou cerca de US$ 403.000 da Edel Finance, um mercado de empréstimos DeFi construído para ações tokenizadas. O mecanismo era incomum: o oráculo dos preços não foi comprometido. Chainlink relatou o preço real das ações da Alphabet corretamente o tempo todo. O ponto fraco era a própria garantia, um token de ações tokenizadas embrulhado que, de acordo com dados on-chain da DEXTools, quase não tem mercado por trás dele. Extraímos a transação de exploração e os dados do token para mostrar exatamente quão escassa era a garantia e por que isso tornou o ataque possível.
Resumo do incidente
- Protocolo: Edel Finance (Edel Lending V1), um mercado de empréstimos Ethereum para ações tokenizadas (xStocks).
- Quando: 1º de julho de 2026, transação de exploração confirmada às 00:24:47 UTC no bloco 25434062.
- Como: um empréstimo instantâneo financiou depósitos repetidos em um cofre de token embrulhado, inflacionando a taxa de câmbio interna do cofre, de modo que o preço da garantia foi cerca de 78 vezes mais alto.
- Não é um hack de feed do Oracle: o preço do Chainlink para Alphabet permaneceu correto em cerca de US$ 357 o tempo todo.
- Consequências: sinalizado em tempo real pelo Blockaid, os fundos foram encaminhados para o Tornado Cash e a Edel pausou todos os contratos V1.
O que a transação de exploração realmente mostra
Abrimos a transação de exploração na rede principal Ethereum e a decodificamos de forma independente. É uma transação única de criação de contrato enviada de uma carteira recém-financiada (0x5842...11C76), e foi a primeira transação daquela carteira. Dentro dele, o recibo registra 502 eventos, dos quais 228 são transferências de tokens ERC-20 envolvendo 17 contratos de tokens distintos. Essa única transação é o ataque inteiro.
As transferências são mapeadas de forma limpa no mecanismo. Um empréstimo rápido de moeda estável de cerca de 180.000 USDC (relatado como proveniente da Morpho) forneceu o capital de giro. O invasor então alternou o estoque tokenizado da Alphabet (GOOGLx) para dentro e para fora do cofre de token embalado que emite wGOOGLx, o token que Edel aceita como garantia. Crucialmente, a transação não empresta apenas USDC. Ele abre posições de dívida variável em todas as reservas do mercado de uma só vez: podemos ver os tokens de dívida interna do protocolo para wGOOGLx, wSPYx, wQQQx, wMSTRx, wNVDAx e USDC, todos cunhados na mesma transação. Em termos simples, o invasor utilizou as garantias inflacionadas para emprestar todo o conjunto de empréstimos, e não apenas a reserva em dólares.
Funções de token decodificadas do recibo de transação de exploração na rede principal Ethereum. Mais tarde, a carteira recebeu uma delegação EIP-7702, um detalhe consistente com uma conta de ataque descartável e desenvolvida para esse fim.
O mecanismo: uma taxa de cofre, não um feed de preço
A parte sutil é por que um preço preciso do Chainlink não protegeu o protocolo. A Edel avaliou a garantia wGOOGLx lendo a própria taxa de conversão do cofre de token embalado, a quantidade de GOOGLx subjacente que cada ação wGOOGLx vale. Essa taxa é exposta por meio de uma interface padrão de cofre tokenizado e pode ser aumentada através da doação de ativos diretamente para o cofre. De acordo com a Edel e a empresa de segurança SlowMist, o invasor resgatou e doou repetidamente o GOOGLx para aumentar a proporção de ativos por ação do cofre de aproximadamente 6 para quase 79. O contrato de empréstimo da Edel considerava essa taxa inflacionada um evangelho, então uma pequena quantidade de wGOOGLx de repente passou a valer cerca de 78 vezes o que deveria valer, aproximadamente uma supervalorização de 7.700%. O oráculo estava dizendo a verdade sobre as ações; o protocolo estava fazendo a pergunta errada.
Este é um primo próximo da manipulação clássica de preços e pertence à mesma família dos ataques que abordamos em nosso explicador em manipulação de oráculo em DeFi e o vetor de doação ERC-4626 detalhado em nosso guia de ataque de empréstimo instantâneo. A causa raiz apontada pelos analistas foi um caminho de avaliação sem limites de taxas e sem proteção de doações.
Os dados do DEXTools: por que a garantia era frágil pela construção
É aqui que os dados da rede transformam uma história de arame em uma história estrutural. Extraímos dados de token DEXTools para os ativos no centro do ataque. O token colateral em si, wGOOGLx, é efetivamente um ativo fantasma: DEXTools mostra-o com 0 detentores, um fornecimento total de cerca de 0,12 tokens, sem capitalização de mercado e uma pontuação DEXT de 0. Não tem nenhum mercado independente, mas estava sendo usado para garantir empréstimos reais.
A ação tokenizada subjacente, GOOGLx, parece mais saudável no papel, mas conta a mesma história por baixo. Ele carrega uma capitalização de mercado de cerca de US$ 25,7 milhões, mas apenas 350 detentores, e sua pontuação DEXT se divide em uma subpontuação de liquidez, ou pool, de apenas 1 em 100. Um ativo supostamente de US$ 25 milhões com uma pontuação de pool de 1 é um token que mal é negociado na rede. Essa escassez é a questão principal: quando um ativo quase não tem mercado real, a sua taxa interna de embalagem é barata para movimentar.
Instantâneo atual do DEXTools do conjunto de garantias wrap-xStock da Edel. A contagem de detentores é pequena em todos os aspectos, e wGOOGLx, o token que o invasor escolheu inflar, era o mais vazio de todos. Os valores são instantâneos ao vivo e mudarão.
Leiam juntos, os números explicam a seleção do alvo. Todas as reservas embaladas neste mercado eram pequenas, mas o wGOOGLx era o mais escasso, com zero detentores e uma oferta insignificante. Esse é precisamente o token que você escolheria se seu plano fosse alterar a taxa de câmbio de um cofre com um punhado de doações. Você mesmo pode executar as mesmas verificações em qualquer token com nosso Verificador de segurança de tokene nosso explicador no Pontuação DEXT cobre o que significa a subpontuação de liquidez.
Quanto foi realmente perdido
O número da manchete é de cerca de US$ 403.000, o número de dívidas inadimplentes confirmado pela equipe da Edel e citado pela maioria dos meios de comunicação, e está alinhado com os dados do DeFiLlama que mostram o valor total bloqueado do mercado caindo de cerca de US$ 630.000 para cerca de US$ 947, descrito como sua maior saída líquida já registrada. Vale a pena ser preciso, porque as empresas de segurança dimensionaram a perda de forma diferente: as estimativas iniciais variaram de cerca de US$ 204.000 (CertiK) a cerca de US$ 353.000 (Cyvers), até a perda de aproximadamente US$ 403.000 e o lucro do invasor de aproximadamente US$ 305.000 relatado pela GoPlus. A diferença é a habitual entre os fundos drenados, a inadimplência residual e o lucro líquido do invasor. Tratamos aproximadamente US$ 403.000 como perda de protocolo e o restante como um intervalo, e não como um único número liquidado.
Resposta e o que isso significa para DeFi de ações tokenizadas
A Edel pausou todos os contratos V1, que permanecem offline, e disse que absorveria a inadimplência e restauraria os saldos dos depositantes um a um. A equipe ofereceu ao invasor um acordo de chapéu branco, embora os fundos já tivessem sido encaminhados para o Tornado Cash, e disse que um V2 redesenhado com um novo sistema de avaliação está em implantação. A lição imediata é limitada e técnica: nunca obtenha um preço colateral a partir de uma taxa de embalagem que qualquer pessoa possa aplicar doando para o cofre.
A lição mais ampla é aquela que os dados do DEXTools tornam difícil de ignorar. As ações tokenizadas são uma das narrativas de crescimento mais rápido em 2026, de L2 do próprio Robinhood para Promoção de produto da Coinbase. Mas um ativo pode ter um preço real e ainda assim quase não ter mercado em cadeia, e os mercados limitados são garantias frágeis. Fizemos a mesma observação sobre a realidade da liquidez em nossa análise da negociação de xStocks na rede BNB. Antes que um token de capital tokenizado seja confiável como garantia, ou como qualquer coisa, a questão na cadeia não é apenas quanto vale o estoque, mas se o token tem algum mercado. Verificar se um pool não pode ser manipulado trivialmente é a mesma disciplina que verificar um bloqueio de liquidez antes de confiar nele.
Metodologia e isenção de responsabilidade: os fatos do incidente são extraídos de declarações públicas e relatórios da Edel Finance por CoinDesk, AMBCrypto, CryptoSlate e outros, com análise de segurança atribuída a Blockaid, SlowMist, GoPlus, Cyvers e CertiK. O rastreamento da transação (bloco 25434062, 228 transferências ERC-20, 17 contratos de token) foi decodificado independentemente da rede principal Ethereum, e o detentor do token, capitalização de mercado e números de pontuação DEXT são um instantâneo ao vivo do DEXTools tirado logo após o evento; todos os valores da cadeia mudam com o tempo. As estimativas de perdas variam de acordo com a empresa e são apresentadas como um intervalo. Este artigo é apenas para informação e não constitui aconselhamento financeiro.