Ataques de Cripto em Junho Aumentam com Gnosis Pay e TesseraDAO Sendo Explorados

— By Tony Rabbit in Markets

Ataques de Cripto em Junho Aumentam com Gnosis Pay e TesseraDAO Sendo Explorados

Dois novos exploits atingiram o mundo cripto nos primeiros dias de junho de 2026. Gnosis Pay teve uma proteção de cartão contornada, enquanto TesseraDAO perdeu cerca de 2,5 milhões de dólares para um ataque de mint-and-dump lavado através do Tornado Cash.

Os primeiros dias de junho de 2026 trouxeram mais duas entradas para uma lista crescente de ataques de cripto. Dois exploits separados atingiram diferentes partes do mercado: Gnosis Pay, uma plataforma de cartão cripto de autocustódia, e TesseraDAO, um projeto de token na BNB Chain. Nenhum dos incidentes foi pequeno, e ambos somaram-se a um total de perdas que tem vindo a aumentar ao longo do ano.

Os ataques ocorreram com poucos dias de diferença e seguiram manuais que se tornaram familiares em 2026. Um visou um recurso de segurança destinado a retardar o roubo. O outro usou um esquema clássico de mint-and-dump, e depois empurrou os lucros através de um protocolo de mistura para esconder o rasto. Aqui está o que aconteceu, explicado em termos simples, juntamente com passos simples que os utilizadores podem tomar para se manterem mais seguros.

O Que Aconteceu com Gnosis Pay

Gnosis Pay oferece um cartão cripto de autocustódia, um produto que permite aos utilizadores gastar cripto diretamente enquanto mantêm o controlo dos seus próprios fundos, em vez de os entregar a um custodiante central. Para proteger os utilizadores, a plataforma incorporou uma funcionalidade que chama de módulo de atraso. A ideia é simples: quando uma transação de saída é solicitada, o sistema impõe uma espera de três minutos antes de ser efetuada. Essa breve pausa destina-se a dar ao utilizador tempo para detetar e cancelar uma transferência maliciosa ou errada antes que qualquer dinheiro saia.

Um atacante encontrou um bug que permitiu contornar esta proteção. Ao contornar o módulo de atraso, o explorador conseguiu efetuar transações sem o período de espera incorporado que deveria atuar como uma última linha de defesa. Recursos de segurança como atrasos de tempo são comuns em produtos de autocustódia precisamente porque adicionam atrito para os atacantes, então um bypass mina a promessa central do design.

Ilustração de um cartão cripto de autocustódia com um recurso de segurança de atraso de tempo sendo contornado

O Exploit da TesseraDAO

O incidente da TesseraDAO foi maior em termos de dólares e mais agressivo na execução. Um atacante cunhou 99 milhões de tokens TSR na BNB Chain e depois os trocou por aproximadamente 2,5 milhões de dólares em USDT, uma stablecoin atrelada ao dólar. A enxurrada de tokens recém-criados a atingir o mercado fez com que o preço do TSR caísse cerca de 99 por cento, eliminando a maior parte do valor do token quase instantaneamente.

O explorador não parou por aí. Depois de sacar, o atacante transferiu os fundos da BNB Chain para Ethereum e depois os lavou, enviando cerca de 1.285,5 ETH através do Tornado Cash, um protocolo de mistura usado para obscurecer a origem e o destino dos fundos. A combinação de passos foi o que tornou o ataque eficaz: cunhar, despejar, transferir e lavar.

Como Funciona um Exploit de Mint-and-Dump

Num nível elevado, um exploit de mint-and-dump baseia-se na capacidade do atacante de criar novos tokens do nada. Se um contrato inteligente tiver uma falha ou uma permissão que permita a alguém cunhar uma grande quantidade, essa pessoa pode de repente deter um enorme número de tokens que não existiam um momento antes.

O próximo passo é o despejo. O atacante vende rapidamente esses tokens recém-cunhados no mercado, muitas vezes trocando-os por uma stablecoin ou outro ativo com valor real. Como o mercado tem apenas uma certa liquidez, despejar uma oferta massiva faz com que o preço caia drasticamente, razão pela qual o TSR caiu cerca de 99 por cento. O atacante sai com ativos valiosos enquanto os detentores comuns ficam com tokens que valem uma fração do que pagaram.

Como Funciona a Lavagem Através de um Mixer

Uma vez que um atacante tem fundos valiosos, o objetivo muda para esconder o rasto. As blockchains públicas registam cada transação, então qualquer pessoa pode seguir o dinheiro de um endereço para o próximo. Um protocolo de mistura como o Tornado Cash é projetado para quebrar essa cadeia visível. Em termos simples, um mixer agrupa depósitos de muitas fontes diferentes e depois permite que os utilizadores levantem fundos de uma forma que torna difícil ligar um levantamento específico a um depósito específico.

A ponte adiciona outra camada. Ao mover fundos da BNB Chain para Ethereum primeiro, o atacante transfere o dinheiro entre redes antes de o misturar, o que complica ainda mais o rastreamento. Nada disto é um guia para condutas ilícitas; simplesmente explica porque os investigadores muitas vezes perdem o rasto de fundos roubados depois de passarem por uma ponte e um mixer.

Um Padrão Familiar em 2026

O ataque da TesseraDAO seguiu um padrão que tem aparecido repetidamente este ano: cunhar, despejar, transferir, lavar. Cada etapa lida com um problema diferente para o atacante. A cunhagem cria os ativos, o despejo os converte em algo útil, a transferência os afasta do local e a lavagem esconde o destino.

Diagrama mostrando as etapas de cunhagem, despejo, ponte e lavagem de um exploit de token

O contexto mais amplo é preocupante. Hackers drenaram grandes somas ao longo de 2026, incluindo centenas de milhões de dólares de pontes cross-chain, que se situam entre redes e detêm ativos agrupados que as tornam alvos atraentes. Os exploits da Gnosis Pay e da TesseraDAO são mais dois pontos de dados num ano em que os atacantes encontraram e usaram repetidamente fraquezas, seja num módulo de segurança ou nas permissões de cunhagem de um contrato de token.

Como Manter-se Seguro

Os utilizadores não podem prevenir todos os exploits, mas alguns hábitos reduzem a exposição. Verifique sempre se está a usar uma aplicação ou website oficial antes de conectar uma carteira ou inserir credenciais, uma vez que clones falsos são comuns. Seja cauteloso com tokens novos ou de baixa liquidez, onde uma única grande venda pode mover o preço drasticamente e onde os riscos do contrato são mais difíceis de avaliar.

Fique atento a mudanças súbitas na oferta. Um token cuja oferta total salta sem uma razão clara e anunciada pode ser um sinal de alerta de um exploit de cunhagem em andamento. Ferramentas que mostram dados on-chain podem ajudar aqui. Antes de negociar, verificar a oferta e liquidez de um token numa plataforma como DEXTools pode dar-lhe uma imagem mais clara do que está a comprar. Nada disto é aconselhamento financeiro, mas um pouco de verificação ajuda muito.

Conclusão

Os exploits da Gnosis Pay e da TesseraDAO mostram dois lados do mesmo problema. Um ataque derrotou uma funcionalidade construída para proteger os utilizadores, e o outro transformou uma falha de contrato em aproximadamente 2,5 milhões de dólares antes de desaparecer através de uma ponte e um mixer. À medida que a contagem de ataques de 2026 continua a subir, as lições básicas permanecem as mesmas: verifique o que usa, mantenha-se cauteloso com tokens desconhecidos e preste atenção aos dados on-chain que podem sinalizar problemas cedo.