~/defi/hacks $ cat kak-lomayut-defi-vektory.md
Como quebram o DeFi: cinco vetores que respondem por bilhões em perdas
O DeFi perde bilhões por ano, mas a variedade dos ataques engana: a esmagadora maioria dos incidentes são cinco vetores recorrentes.
Os cinco vetores
- 1. Manipulação de oráculo. O protocolo lê o preço de um pool fino - o atacante o move com volume de flash loan e toma/retira pela avaliação pintada. O clássico eterno do gênero.
- 2. Reentrância e bugs lógicos. Erros no código: reentrada numa função antes da atualização do saldo, arredondamentos tortos, verificações de permissão esquecidas. Trata-se com auditorias - e acontece mesmo assim.
- 3. Chaves privadas e multisigs. O vetor mais caro dos últimos anos não é código, é gente: phishing dos signatários, deployers comprometidos, interfaces de assinatura falsificadas. O roubo da Bybit (2025, ~$1,5 bi, Lazarus) é o auge desse gênero.
- 4. Pontes. Depositárias de ativos alheios com validadores intermediários - as principais vítimas da década: Ronin, Wormhole, Nomad. Mais - na seção de pontes.
- 5. Ataques de governança. Compra/empréstimo de votos → proposta maliciosa → a tesouraria. É barato onde o token custa menos que a tesouraria.
O que o usuário tira disso
A diversificação entre protocolos não é paranoia, é a resposta à taxa base do setor. A idade do código e o bug bounty funcionam. E o risco mais subestimado não são os smart contracts, mas a operação das equipes: chaves, signatários, phishing. Mantemos a crônica dos incidentes na seção de hacks.