Fundos desviados pela Tornado Cash resultam em perda de US$ 330 mil para o usuário deltatiger.eth da Goldfinch Finance.

Um usuáriodentda plataforma DeFi baseada em Ethereum, Goldfinch Finance, sofreu uma exploração que resultou em perdas de aproximadamente US$ 330.000, de acordo com a plataforma de segurança blockchain PeckShield.

Na terça-feira, o PeckShieldAlert informou que o atacante do usuário deltatiger.eth do Goldfinch enviou cerca de 118 ETH para a Tornado Cash após invadir umtracinteligente antigo no Ethereum.

Otraccomprometido,dentcomo 0x0689aa2234d06Ac0d04cdac874331d287aFA4B43, permitiu que o perpetrador assumisse o controle da carteira de deltatiger e drenasse os fundos.

#PeckShieldAlert @deltatigernz da @goldfinch_fi foi atacado, resultando em uma perda de aproximadamente US$ 330 mil.

O hacker depositou 118 $ETH dos fundos roubados no #Tornado Cash .

🚨Por favor, *revogue* imediatamente as aprovações para este contrato: trac pic.twitter.com/OOuv39YVU9

— PeckShieldAlert (@PeckShieldAlert) 2 de dezembro de 2025

A vulnerabilidade residia na função collectInterestRepayment() dotrac, que podia transferir USDC de qualquer endereço que concedesse aprovação. O atacante teria depositado 1.000 USDC e sacado fundos repetidamente após inflar artificialmente o preço da ação.

A PeckShield alertou os usuários para que "revogassem imediatamente todas as aprovações do contrato trac a fim de impedir que o hacker roubasse mais tokens, já que eles continuavam usando o misturador de criptomoedas Tornado Cash para lavar os tokens roubados.

Até o momento, não houve atualizações da Deltatiger e da Goldfinch, e nenhuma das entidades divulgou se o atacante entrou em contato com elas após a exploração da vulnerabilidade por volta das 9h30 UTC de hoje.

O método de empréstimo descentralizado da Goldfinch Finance apresentou falhas.

Goldfinch Finance é um protocolo de finanças descentralizadas (DeFi) apoiado por grandes nomes da indústria de criptomoedas, incluindo a16z Crypto e Coinbase Ventures. 

Diferentemente da maioria das plataformas de empréstimo de criptomoedas, a Goldfinch não exige que os tomadores de empréstimo ofereçam garantias. Em vez disso, eles podem submeter propostas de empréstimo para análise por investidores e auditores, que são liberadas caso as propostas obtenham apoio suficiente. Provedores de liquidez, investidores e auditores recebem juros como recompensa, enquanto os tomadores de empréstimo acessam o capital sem precisar oferecer garantias.

O protocolo entrou em operação na Ethereum em fevereiro de 2021, emitindo inicialmente US$ 1 milhão em empréstimos. A versão 1.1 foi lançada um mês depois, em março de 2021, e a Goldfinch captou US$ 11 milhões em financiamento da Andreessen Horowitz meses depois. Em outubro de 2021, a plataforma firmou parceria com a Nexus Mutual, permitindo que provedores de liquidez e apoiadores comprassem seguro paratracinteligentes. 

De acordo com o terminal de tokens da Coingecko, o protocolo Goldfinch tem uma capitalização de mercado totalmente diluída de US$ 30,5 milhões, um volume de negociação de tokens de US$ 12,4 milhões nos últimos 30 dias e empréstimos ativos totalizando US$ 91,3 milhões.

Em 2023, uma empresa de financiamento de motocicletas da África Oriental chamada Tugende Kenya deixou de pagar um empréstimo em criptomoedas de US$ 5 milhões após supostamente conceder um empréstimo não autorizado à sua empresa matriz sediada em Uganda, o que violou os termos do empréstimo.

A Warbler Labs, empresa controladora da Goldfinch, descobriu que a Tugende Kenya havia desviado quase US$ 2 milhões para sua empresa matriz. A violação foi revelada em dezembro daquele ano, mas os registros da empresa mostram que ela foi relatada no fórum de governança da Goldfinch em fevereiro de 2024.

Outro caso de inadimplência ocorreu em 2024, envolvendo a empresa de crédito privado Lend East, sediada em Singapura, que afirmou ter conseguido pagar apenas cerca de US$ 4,25 milhões de um empréstimo de US$ 10,15 milhões do grupo Goldfinch. O valor era 58% inferior ao valor de reembolso e correspondia a 7,7% do total de empréstimos ativos da Goldfinch. 

O fundo Lend East tinha um prazo de 25 meses, com vencimento em 3 de abril de 2024, oferecendo um rendimento anual de 17% em USDC ou um rendimento anual variável de 28% em GFI. Membros da comunidade do Discord alegaram que US$ 750.000 emprestados da Goldfinch foram usados para pagar outros mutuários, violando o contrato de empréstimo original.

Dezembro marca o início de um período de perdas para os protocolos DeFi devido a ataques cibernéticos.

O ataque à Goldfinch ocorreu apenas 24 horas depois de a Yearn Finance ter sofrido uma violação de segurança que permitiu a emissão ilimitada de tokens yETH, drenando todo o pool de yETH em uma única transação. De acordo com a reportagem , os atacantes geraram tokens yETH praticamente infinitos, trac aproximadamente 1.000 ETH, equivalentes a US$ 3 milhões, que foram então transferidos através da Tornado Cash .

yETH é um token de índice baseado em diversas versões de ETH com liquidez, conhecidas como Derivativos de Staking Líquido Ethereum (LSTs). A vulnerabilidade foi identificada pelo usuário Togbe, do X, que observou "grande volume de transações" em LSTs como Yearn, Rocket Pool, Origin e Dinero.

A Yearn Finance confirmou odent por meio de sua conta oficial X, mas garantiu aos usuários que os Vaults V2 e V3 estavam seguros. Este é o segundo ataque desde 2021, quando a violação do Vault yDAI da Yearn resultou em uma perda de US$ 2,8 milhões, e um script defeituoso em dezembro de 2023 eliminou 63% de uma posição de tesouraria.

A empresa de segurança blockchain CertiK informou no domingo que o setor de criptomoedas sofreu perdas estimadas em US$ 127 milhões devido a ataques cibernéticos e explorações de vulnerabilidades em novembro. O relatório mensal de ameaças da empresa observou que os fundos afetados ultrapassaram US$ 172 milhões, embora aproximadamente US$ 45 milhões tenham sido recuperados posteriormente.

Reivindique seu lugar gratuito em uma comunidade exclusiva de negociação de criptomoedas - limitada a 1.000 membros.