- IPOR Labs sofreu um roubo de $336 mil em um golpe no cofre USDC Fusion Optimizer, na rede Arbitrum, explorando vulnerabilidades em contrato legado aliado ao mecanismo de delegação EIP-7702.
- A equipe promete reembolso total aos depositantes afetados a partir do tesouro da protocol, que representa menos de 1% dos fundos totais sob a plataforma Fusion.
- Firmas de segurança alertaram a IPOR em 6 de janeiro sobre transações suspeitas que drenavam recursos por meio de uma configuração de contrato malicioso chamada “fuse”.
- O atacante transferiu os ativos roubados para Ethereum e, em seguida, os depositou no Tornado Cash, conforme a CertiK, que monitorou cerca de $330 mil em movimento entre várias redes.
- Destaques indicam que apenas os cofres mais antigos, sem validação explícita de fused, apresentaram falhas; cofres mais novos já implementam verificação de fuse para evitar execuções de código arbitrárias durante saques.
IPOR Labs sofreu um ataque a um de seus vaults de USDC na Arbitrum, com perdas estimadas em 336 mil dólares. O golpe ocorreu por meio de uma combinação de vulnerabilidades em contratos legados e do uso do mecanismo de delegação EIP-7702 implementado no Ethereum, conforme apurado pela equipe da IPOR.
A protocol afirmou que todos os depósitos afetados serão ressarcidos integralmente pela tesouraria, cuja reserva representa menos de 1% dos fundos totais do Fusion. Profissionais de segurança Hexagate e Blockaid alertaram a IPOR em 6 de janeiro sobre transações suspeitas que drenavam recursos por meio de uma configuração maliciosa de contrato chamada fuse.
O invasor transferiu ativos roubados para Ethereum e depois os depositou no Tornado Cash, conforme a CertiK, que monitorou cerca de 330 mil dólares movimentados pela mixagem ao longo da incursão em várias redes blockchain. O ataque exigiu duas condições independentes: código legad o vulnerável e a delegação EIP-7702, associada a uma melhoria do Ethereum conhecida como Pectra upgrade.
Segundo o relatório técnico da IPOR, a exploração ocorreu em duas etapas sobre a arquitetura mais antiga do vault, implantada há 490 dias. A função configureInstantWithdrawalFuses do contrato legado não validava corretamente os fuses, que são módulos de lógica executados no contexto do vault.
Um possível abuso ocorreu quando uma conta administrativa com permissões de gestão do vault utilizou a delegação EIP-7702 para invocar um contrato de implementação com uma função de chamada arbitrária, passando a autoridade total ao atacante. Esse recurso de delegação permitiu a injeção de uma fuse maliciosa que aparentava ser legítima aos mecanismos de verificação.
Durante uma operação de instantWithdraw, a fuse maldosa transferiu USDC para endereços sob controle do atacante antes que a equipe pudesse reagir, promovendo o esvaziamento por meio de várias transações coordenadas que passaram despercebidas pelos sistemas de monitoramento.
Segurança e estratégias futuras
IPOR enfatizou que os vaults mais recentes possuem validação explícita de fuse, impedindo execução arbitrária de código durante saques. O contrato delegado EIP-7702 funcionava como utilitário de empacotamento para recompensas em exatamente dois vaults, sendo que o atacante explorou apenas o vault legado sem validação robusta.
A IPOR afirmou que nenhum outro vault da linha Fusion apresenta vulnerabilidades similares devido à arquitetura de segurança atual, com verificação abrangente de fuses. A DAO do IPOR planeja cobrir o déficit de 336 mil dólares com reservas, em parceria com a SEAL e autoridades competentes para rastrear e recuperar recursos por meio de análises forenses e cooperação com exchanges.
Contexto do cenário de ameaças
O incidente ocorre em meio a um ambiente de aumento de ataques sofisticados no início de 2026, com a fiscalização destacando padrões de exploração cross-chain e ataques a carteiras, muitos com valores menores por endereço, mas somando dezenas de milhões de dólares. Especialistas destacam que a tendência envolve ataques operacionais mais complexos, visando tesourarias e controles administrativos, além de vulnerabilidades no código.
Entre na conversa da comunidade