A $3B Ameaça: Como o Malware em Bibliotecas de Código Agora Alvo de Contratos Inteligentes Ethereum

O ecossistema de criptomoedas enfrenta uma crise crescente à medida que a empresa de cibersegurança ReversingLabs revelou um vetor de ataque sofisticado: atores maliciosos estão aproveitando pacotes open-source do NPM para injetar malware diretamente em contratos inteligentes do Ethereum. Esta descoberta marca uma evolução perigosa nos ataques à cadeia de suprimentos contra a infraestrutura blockchain.

Vulnerabilidade Crescente do DeFi: O $3B Dano em 2025

A escala da ameaça é assustadora. Segundo as análises de blockchain da Global Ledger, hackers conseguiram roubar $3 bilhões em 119 incidentes distintos durante a primeira metade de 2025—um aumento de 150% em comparação com todo o ano de 2024. O dano reflete o quão interligados os protocolos DeFi se tornaram alvos fáceis para ataques coordenados que exploram vulnerabilidades compartilhadas.

Um caso notável destaca esse risco: em julho, atacantes comprometeram o contrato Rebalancer da Arcadia Finance na blockchain Base, drenando $2,5 milhões ao manipular os parâmetros de troca. Este incidente demonstrou que até protocolos estabelecidos enfrentam exposição significativa quando há lacunas de segurança.

A Campanha de Malware NPM: Como Zanki e ReversingLabs Descobriram o Ataque

A investigação do pesquisador da ReversingLabs, Karlo Zanki, no início de julho revelou um padrão perturbador. Atores maliciosos estavam disfarçando códigos maliciosos dentro de pacotes aparentemente legítimos do NPM, sendo as variantes mais perigosas identificadas como colortoolsv2 e mimelib2, ambos carregados em julho.

Estes pacotes operam através de uma estrutura de dois arquivos projetada para máxima furtividade. O componente principal, um script chamado index.js, contém cargas maliciosas ocultas que ativam assim que instaladas no projeto de um desenvolvedor. O que torna essa campanha sem precedentes é o mecanismo de entrega: o malware não usa servidores tradicionais de comando e controle, mas aproveita contratos inteligentes do Ethereum para armazenar e recuperar URLs para download de malware de segunda fase.

Essa abordagem contorna as varreduras de segurança convencionais ao explorar a imutabilidade e a natureza distribuída do blockchain como uma camada de ofuscação.

O Bot Falso do Solana: Como Legitimidade Fabricada Enganou Desenvolvedores

Os pesquisadores descobriram um repositório comprometido no GitHub chamado solana-trading-bot-v2 que continha o pacote malicioso colortoolsv2. O repositório parecia confiável para observadores casuais—contava com milhares de commits, múltiplos colaboradores ativos e um número substancial de estrelas—mas todos os indicadores de legitimidade foram artificialmente construídos.

Qualquer desenvolvedor que instalasse esse pacote concederia inadvertidamente acesso aos atacantes às carteiras dos usuários, potencialmente drenando todos os fundos conectados. Este ataque combina três camadas de engano: um repositório falso-legítimo, código de malware obfuscado e entrega de comandos baseada em blockchain.

Por que Contratos Inteligentes se Tornaram Infraestrutura de Ataque

A inovação aqui representa uma mudança na metodologia dos atacantes. Em vez de manter uma infraestrutura tradicional de C2 vulnerável a remoções, os atores maliciosos agora usam contratos inteligentes do Ethereum como redes permanentes e resistentes à censura para distribuição de malware. A natureza descentralizada do blockchain garante que esses centros de comando permaneçam operacionais independentemente de intervenções das autoridades.

Segundo Slava Demchuk, CEO da AMLBot, vulnerabilidades de controle de acesso e falhas no design de contratos inteligentes continuam sendo os principais vetores de ataque. A arquitetura composicional dos protocolos DeFi amplifica os danos, permitindo que os atacantes encadeiem explorações em várias plataformas simultaneamente.

O Evento de Extinção da Cadeia de Suprimentos que Ninguém Está Preparado

O contexto mais amplo é ainda mais alarmante: 2025 testemunhou uma explosão de campanhas no NPM. Além do colortoolsv2, os pesquisadores documentaram os pacotes ethers-provider2 e ethers-providerz em março, seguidos por inúmeros infostealers, downloaders e droppers descobertos ao longo do ano.

Cada nova variante de malware demonstra que os atores maliciosos mudaram de alvo, passando de usuários individuais para comprometer a própria cadeia de desenvolvimento. Um único pacote malicioso pode infiltrar milhares de projetos, transformando repositórios open-source em vetores de distribuição.

O que os Desenvolvedores Devem Fazer Agora

Auditores de segurança enfatizam uma ação crítica: antes de integrar qualquer biblioteca externa, os desenvolvedores devem realizar uma avaliação minuciosa da origem do pacote, do histórico dos contribuidores e da autenticidade do código. A era de confiar no open-source por padrão chegou ao fim.

As descobertas da ReversingLabs mostram que os contratos inteligentes do Ethereum—originalmente projetados como infraestrutura sem confiança—tornaram-se confiáveis de uma maneira completamente diferente: os atacantes os estão explorando como canais permanentes de distribuição de malware, seguros na certeza de que a imutabilidade do blockchain torna a remoção impossível uma vez implantados.