Quais são os principais eventos de segurança e risco em cripto: manipulação de mercado PIPPIN, vulnerabilidades em smart contracts e riscos de custódia em exchanges, detalhados

Manipulação de mercado da PIPPIN: como 26 endereços interligados retiraram US$ 96 milhões de exchanges centralizadas

Em 2025, um grupo coordenado de 26 endereços associados à PIPPIN provocou grande preocupação no mercado ao realizar saques massivos de US$ 96 milhões em exchanges centralizadas. Esse movimento articulado representou uma significativa saída de capital, gerando alertas imediatos entre analistas e órgãos reguladores.

A sincronização desses saques entre vários endereços evidencia uma coordenação intencional, distante do comportamento orgânico de usuários. A análise on-chain confirma que esses endereços possuem históricos transacionais interligados, indicando controle ou operação conjunta. Tanto o timing quanto a magnitude das movimentações reforçam suspeitas de manipulação de mercado, voltada à interferência artificial no preço da PIPPIN.

A SEC abriu investigações sobre os padrões suspeitos de negociação, apurando se a saída coordenada de recursos configura manipulação de mercado. A posição de destaque da PIPPIN — #5 no ranking SymSense — evidencia o escrutínio regulatório contínuo. Há indícios de articulação entre clusters de endereços para inflar artificialmente o volume negociado e manipular a cotação, fato que demanda atenção máxima de equipes de compliance e investidores.

Vulnerabilidades em smart contracts e ataques de reentrância: estudo de caso do ataque de US$ 27 milhões à Penpie

Em setembro de 2024, o Penpie Protocol sofreu uma grave violação de segurança, culminando em perdas de US$ 27 milhões e expondo falhas críticas na arquitetura de seus smart contracts. O ataque explorou vulnerabilidades de reentrância na função _harvestBatchMarketRewards do contrato PendleStaking, que não contava com mecanismos essenciais, como reentrancy guards.

O invasor utilizou a função redeemRewards() para acionar claimRewards() em mercados específicos, permitindo execuções recursivas antes da atualização dos estados. Com a emissão de tokens SY falsos e o depósito de PENDLE-LPT de alto valor, o criminoso manipulou a distribuição de recompensas. A ausência de validação sobre a confiabilidade dos mercados facilitou a exploração sistemática.

O incidente expôs controles de acesso frágeis e validação ineficaz nos smart contracts da Penpie. O atacante depositou tokens LPT de mercados não confiáveis, que foram erroneamente aceitos como recompensas legítimas, inflando o saldo de forma indevida. Após a detecção, as operações do protocolo foram suspensas para conter as perdas, mas outro contrato malicioso revelou a tentativa de acessar os US$ 105 milhões ainda sob custódia do protocolo.

O caso Penpie mostra como uma única falha de reentrância pode desencadear prejuízos financeiros devastadores. O episódio reforça a necessidade de práticas robustas de segurança: implementação de reentrancy guards, validação de estados e auditoria rigorosa dos smart contracts antes do lançamento em mainnet, assegurando a proteção dos ecossistemas de DeFi.

Riscos de custódia em exchanges: concentração de até 90% da oferta de tokens sob controle interno ameaça segurança do investidor

A custódia de ativos em exchanges de criptomoedas revela riscos extremos de concentração, colocando em xeque os mecanismos de proteção ao investidor. O caso da PIPPIN evidencia o cenário: endereços internos controlam aproximadamente 80% da oferta de tokens, equivalentes a cerca de US$ 380 milhões sob gestão de uma única entidade.

As últimas orientações da SEC para investidores destacam que a concentração interna de tokens cria riscos sistêmicos, indo além das ameaças comuns às exchanges. Quando endereços internos detêm a maior parte da oferta circulante, a estrutura de custódia se fragiliza — tornando impossível para o investidor validar a liquidez real do mercado e a formação de preços. Sem redes de liquidação externas e protocolos de segregação, os recursos dos usuários ficam expostos a falhas internas de controle.

As principais exchanges do mercado já adotam acesso à liquidez em múltiplas venues e soluções integradas de custódia para mitigar esses riscos. O investidor deve avaliar se a plataforma custodiante mantém registros transparentes de titularidade, aplica cold storage para a maior parte dos ativos e garante segregação efetiva dos fundos. Sem essas práticas, a segurança dos depósitos é apenas teórica e não uma realidade.