Um erro de configuração no protocolo Singularity_Fi resultou na perda de cerca de US$ 413 mil após comprometer o funcionamento de um oráculo. Além disso, um segundo incidente na BNB Chain ampliou o alerta sobre fragilidades estruturais no mercado de criptomoedas.

Em 19 de janeiro, um administrador do Singularity_Fi registrou seis rotas de oráculo para tokens de rendimento com um nível de taxa inválido na Uniswap V3: 42. No entanto, a plataforma aceita apenas quatro níveis válidos, sendo 100, 500, 3000 e 10000.

Conforme o perfil DefimonAlerts no X, qualquer chamada ao método factory.getPool() com essa taxa inválida retornava o endereço zero. Como resultado, o caminho direto de precificação foi interrompido sem alertas claros no sistema.

Ainda assim, o cofre dynBaseUSDCv3, operando na rede Base, permaneceu ativo. Contudo, perdeu a capacidade de avaliar corretamente seus ativos, o que abriu espaço para exploração.

Falha de oráculo distorce avaliação de ativos

Embora existissem pools alternativos com WETH, eles não tinham liquidez suficiente. Dessa forma, a função VaultTokensLib.totalAssets() passou a contabilizar apenas cerca de US$ 100 em USDC no cofre. Em outras palavras, os demais ativos, compostos por tokens de rendimento, passaram a ser considerados sem valor.

Esse erro permaneceu ativo por aproximadamente três meses. Nesse ínterim, a falha só se tornou evidente quando foi explorada de forma deliberada.

O ataque começou quando um agente utilizou um flash loan de 100 mil USDC via Morpho. Em seguida, depositou os fundos no cofre e cunhou quase 99,99% da oferta total de tokens, aproveitando a avaliação incorreta do oráculo.

Posteriormente, o invasor realizou o resgate dos tokens. Diferentemente do processo de mint, o resgate considera os saldos reais dos ativos. Como resultado, ele retirou proporcionalmente todos os ativos subjacentes, incluindo aqueles ignorados pelo sistema.

Dados do Basescan mostram que o prejuízo total alcançou cerca de US$ 413 mil. Além disso, a configuração incorreta permanece registrada on-chain desde janeiro.

O Singularity_Fi confirmou o incidente e informou que divulgará um relatório técnico detalhado. Enquanto isso, o caso reforça preocupações recorrentes no setor de finanças descentralizadas.

Ataques exploram falhas simples e persistentes

De fato, o episódio segue uma tendência crescente. Apenas em abril de 2026, as perdas com ataques já ultrapassaram US$ 620 milhões. Nesse contexto, falhas em oráculos aparecem com frequência entre os principais vetores de exploração.

Além disso, casos semelhantes já ocorreram. Um exemplo envolveu o protocolo Moonwell, também na rede Base, onde um erro em fórmula de oráculo resultou em perdas de US$ 1,78 milhão.

Portanto, mesmo erros simples podem gerar consequências relevantes, sobretudo quando permanecem invisíveis por longos períodos.

Ataque na BNB Chain amplia riscos no setor

Dois dias após o incidente com o Singularity_Fi, outro ataque ocorreu na BNB Chain. Segundo o DefimonAlerts, o token JUDAO sofreu uma drenagem de liquidez estimada em US$ 464 mil.

O contrato do JUDAO inclui uma função chamada _update(), que executa duas ações durante vendas. Primeiro, ativa o mecanismo “isBurnPair”, que queima ou redistribui tokens das reservas caso o preço não suba mais de 5% em relação ao dia anterior. Além disso, aciona um processo de mineração que drena cerca de 2% das reservas para um endereço inativo.

O invasor utilizou um flash loan de aproximadamente 2,3 milhões de USDT via Moolah. Em seguida, comprou cerca de 5,5 milhões de JUDAO e iniciou vendas parciais, ativando simultaneamente os dois mecanismos.

Como consequência, as reservas do par foram distorcidas. Assim, o atacante recomprou USDT em volume superior ao investido. O lucro estimado foi de cerca de US$ 205 mil em USDT, além de 36 BNB, equivalentes a aproximadamente US$ 22,6 mil.

Estruturas frágeis elevam impacto de ataques

A transação pode ser verificada no BSCScan. No entanto, o token JUDAO não está listado no CoinGecko, o que limita a avaliação precisa de seu valor de mercado.

Em conclusão, os dois casos mostram que vulnerabilidades básicas ainda causam prejuízos expressivos. Enquanto o Singularity_Fi sofreu com erro de configuração, o JUDAO revelou fragilidades em seu próprio design econômico. Como resultado, falhas simples continuam sendo exploradas com impacto imediato no mercado cripto.