{"id":313948,"date":"2026-01-07T10:08:53","date_gmt":"2026-01-07T13:08:53","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/01\/07\/ipor-labs-perde-us-336-mil-em-arbitrum-vault-e-promete-reembolso-total\/"},"modified":"2026-01-07T10:08:53","modified_gmt":"2026-01-07T13:08:53","slug":"ipor-labs-perde-us-336-mil-em-arbitrum-vault-e-promete-reembolso-total","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/economia\/2026\/01\/07\/ipor-labs-perde-us-336-mil-em-arbitrum-vault-e-promete-reembolso-total\/","title":{"rendered":"IPOR Labs perde US$336 mil em Arbitrum Vault e promete reembolso total"},"content":{"rendered":"<p>IPOR Labs sofreu um ataque a um de seus vaults de USDC na Arbitrum, com perdas estimadas em 336 mil d\u00f3lares. O golpe ocorreu por meio de uma combina\u00e7\u00e3o de vulnerabilidades em contratos legados e do uso do mecanismo de delega\u00e7\u00e3o EIP-7702 implementado no Ethereum, conforme apurado pela equipe da IPOR.<\/p>\n<p>A protocol afirmou que todos os dep\u00f3sitos afetados ser\u00e3o ressarcidos integralmente pela tesouraria, cuja reserva representa menos de 1% dos fundos totais do Fusion. Profissionais de seguran\u00e7a Hexagate e Blockaid alertaram a IPOR em 6 de janeiro sobre transa\u00e7\u00f5es suspeitas que drenavam recursos por meio de uma configura\u00e7\u00e3o maliciosa de contrato chamada fuse.<\/p>\n<p>O invasor transferiu ativos roubados para Ethereum e depois os depositou no Tornado Cash, conforme a CertiK, que monitorou cerca de 330 mil d\u00f3lares movimentados pela mixagem ao longo da incurs\u00e3o em v\u00e1rias redes blockchain. O ataque exigiu duas condi\u00e7\u00f5es independentes: c\u00f3digo legad o vulner\u00e1vel e a delega\u00e7\u00e3o EIP-7702, associada a uma melhoria do Ethereum conhecida como Pectra upgrade.<\/p>\n<p>Segundo o relat\u00f3rio t\u00e9cnico da IPOR, a explora\u00e7\u00e3o ocorreu em duas etapas sobre a arquitetura mais antiga do vault, implantada h\u00e1 490 dias. A fun\u00e7\u00e3o configureInstantWithdrawalFuses do contrato legado n\u00e3o validava corretamente os fuses, que s\u00e3o m\u00f3dulos de l\u00f3gica executados no contexto do vault.<\/p>\n<p>Um poss\u00edvel abuso ocorreu quando uma conta administrativa com permiss\u00f5es de gest\u00e3o do vault utilizou a delega\u00e7\u00e3o EIP-7702 para invocar um contrato de implementa\u00e7\u00e3o com uma fun\u00e7\u00e3o de chamada arbitr\u00e1ria, passando a autoridade total ao atacante. Esse recurso de delega\u00e7\u00e3o permitiu a inje\u00e7\u00e3o de uma fuse maliciosa que aparentava ser leg\u00edtima aos mecanismos de verifica\u00e7\u00e3o.<\/p>\n<p>Durante uma opera\u00e7\u00e3o de instantWithdraw, a fuse maldosa transferiu USDC para endere\u00e7os sob controle do atacante antes que a equipe pudesse reagir, promovendo o esvaziamento por meio de v\u00e1rias transa\u00e7\u00f5es coordenadas que passaram despercebidas pelos sistemas de monitoramento.<\/p>\n<h3>Seguran\u00e7a e estrat\u00e9gias futuras<\/h3>\n<p>IPOR enfatizou que os vaults mais recentes possuem valida\u00e7\u00e3o expl\u00edcita de fuse, impedindo execu\u00e7\u00e3o arbitr\u00e1ria de c\u00f3digo durante saques. O contrato delegado EIP-7702 funcionava como utilit\u00e1rio de empacotamento para recompensas em exatamente dois vaults, sendo que o atacante explorou apenas o vault legado sem valida\u00e7\u00e3o robusta.<\/p>\n<p>A IPOR afirmou que nenhum outro vault da linha Fusion apresenta vulnerabilidades similares devido \u00e0 arquitetura de seguran\u00e7a atual, com verifica\u00e7\u00e3o abrangente de fuses. A DAO do IPOR planeja cobrir o d\u00e9ficit de 336 mil d\u00f3lares com reservas, em parceria com a SEAL e autoridades competentes para rastrear e recuperar recursos por meio de an\u00e1lises forenses e coopera\u00e7\u00e3o com exchanges.<\/p>\n<h3>Contexto do cen\u00e1rio de amea\u00e7as<\/h3>\n<p>O incidente ocorre em meio a um ambiente de aumento de ataques sofisticados no in\u00edcio de 2026, com a fiscaliza\u00e7\u00e3o destacando padr\u00f5es de explora\u00e7\u00e3o cross-chain e ataques a carteiras, muitos com valores menores por endere\u00e7o, mas somando dezenas de milh\u00f5es de d\u00f3lares. Especialistas destacam que a tend\u00eancia envolve ataques operacionais mais complexos, visando tesourarias e controles administrativos, al\u00e9m de vulnerabilidades no c\u00f3digo.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>IPOR Labs sofreu um roubo de $336 mil em um golpe no cofre USDC Fusion Optimizer, na rede Arbitrum, explorando vulnerabilidades em contrato legado aliado ao mecanismo de delega\u00e7\u00e3o EIP-7702.<\/li>\n<li>A equipe promete reembolso total aos depositantes afetados a partir do tesouro da protocol, que representa menos de 1% dos fundos totais sob a plataforma Fusion.<\/li>\n<li>Firmas de seguran\u00e7a alertaram a IPOR em 6 de janeiro sobre transa\u00e7\u00f5es suspeitas que drenavam recursos por meio de uma configura\u00e7\u00e3o de contrato malicioso chamada \u201cfuse\u201d.<\/li>\n<li>O atacante transferiu os ativos roubados para Ethereum e, em seguida, os depositou no Tornado Cash, conforme a CertiK, que monitorou cerca de $330 mil em movimento entre v\u00e1rias redes.<\/li>\n<li>Destaques indicam que apenas os cofres mais antigos, sem valida\u00e7\u00e3o expl\u00edcita de fused, apresentaram falhas; cofres mais novos j\u00e1 implementam verifica\u00e7\u00e3o de fuse para evitar execu\u00e7\u00f5es de c\u00f3digo arbitr\u00e1rias durante saques.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":313961,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"IPOR Labs sofre roubo de $336 mil em cofre Arbitrum; tesouraria pagar\u00e1 reembolso total aos depositantes, com menos de 1% dos fundos sob gest\u00e3o","footnotes":""},"categories":[41,1],"tags":[84,102,94,269,31,189],"class_list":["post-313948","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-economia","category-noticias","tag-acontecimentos-internacionais","tag-conflitos","tag-economia","tag-internacionais","tag-politica","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/313948","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=313948"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/313948\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/313961"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=313948"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=313948"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=313948"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}