Quais são os principais eventos de segurança e risco no setor cripto: manipulação de mercado PIPPIN, vulnerabilidades em smart contracts e exposição a riscos de custódia nas exchanges explicados

Manipulação de mercado PIPPIN: Como 26 endereços relacionados retiraram 96 milhões $ de bolsas centralizadas

Em 2025, atividades orquestradas envolvendo 26 endereços associados à PIPPIN suscitaram preocupações de mercado, ao coordenarem a retirada massiva de 96 milhões $ de várias bolsas centralizadas. Este movimento coordenado de capitais originou alertas imediatos junto de analistas e autoridades reguladoras.

A sincronização destas retiradas em múltiplos endereços indica uma ação deliberada e planeada, afastando a hipótese de um comportamento espontâneo de utilizadores. A análise on-chain confirma que estes endereços mantêm históricos de transações interligados, apontando para uma operação sob controlo unificado. O momento e a dimensão dos levantamentos coincidem com estratégias típicas de manipulação de mercado, destinadas a influenciar artificialmente o preço da PIPPIN.

A SEC avançou com investigações face a estes padrões suspeitos, avaliando se as saídas coordenadas de fundos configuram manipulação de mercado. O posicionamento de PIPPIN no 5.º lugar do ranking SymSense confirma um escrutínio regulatório constante. Existem indícios de coordenação entre clusters de endereços com o objetivo de inflacionar volumes de negociação e manipular preços, exigindo especial atenção por parte de responsáveis de compliance e investidores.

Vulnerabilidades em smart contracts e ataques de reentrância: Estudo de caso do ataque Penpie de 27 milhões $

Em setembro de 2024, o Protocolo Penpie foi alvo de um grave incidente de segurança que resultou numa perda de 27 milhões $, expondo falhas críticas na arquitetura dos smart contracts. O ataque explorou uma vulnerabilidade de reentrância na função _harvestBatchMarketRewards do contrato PendleStaking, que não dispunha de mecanismos básicos de proteção como reentrancy guards.

O atacante explorou a função redeemRewards() para acionar a claimRewards() em mercados específicos, permitindo execuções recursivas antes da atualização do estado. Utilizando tokens SY falsos e depositando tokens PENDLE-LPT de elevado valor, manipulou o sistema de distribuição de recompensas. A ausência de validação da fiabilidade dos mercados agravou a vulnerabilidade, facilitando uma exploração sistemática.

O caso revelou que o smart contract da Penpie possuía controlos de acesso insuficientes e mecanismos de validação deficitários. O atacante depositou tokens LPT de mercados fraudulentos, que o protocolo considerou erradamente como recompensas legítimas, aumentando o saldo sem verificação. Após a deteção do ataque, as equipas técnicas suspenderam operações para evitar mais perdas, embora uma nova tentativa indicasse que o atacante pretendia aceder aos restantes 105 milhões $ de ativos do protocolo.

O incidente Penpie evidencia como uma vulnerabilidade de reentrância não mitigada pode provocar perdas financeiras devastadoras. Este estudo reforça a necessidade de implementar medidas de segurança robustas, incluindo reentrancy guards, validação rigorosa de estado e auditorias completas de smart contracts antes do lançamento em mainnet, protegendo assim o ecossistema de finanças descentralizadas.

Riscos de custódia em bolsas: Concentração interna de controlo de 80-90% da oferta de tokens compromete a segurança dos investidores

A custódia de ativos em bolsas de criptomoedas apresenta riscos de concentração sem precedentes, colocando em causa a proteção dos investidores. A análise do caso PIPPIN ilustra de forma clara estas vulnerabilidades: atualmente, endereços internos detêm cerca de 80% da oferta de tokens, o que equivale a aproximadamente 380 milhões $ sob o controlo de uma única entidade.

As recomendações mais recentes da SEC para investidores reforçam que esta concentração cria riscos sistémicos superiores aos de uma bolsa tradicional. Quando endereços internos controlam a quase totalidade da oferta, o modelo de custódia deixa de garantir segurança — impossibilitando a validação de liquidez real e dos mecanismos de formação de preço. A inexistência de redes de liquidação fora da bolsa e de custódia segregada expõe os fundos dos utilizadores a falhas internas de controlo.

As principais plataformas de criptomoedas já adotam soluções de acesso multi-venue à liquidez e sistemas de custódia integrados para mitigar estes riscos de concentração. Os investidores devem assegurar que o custodiante da bolsa disponibiliza registos de propriedade transparentes, utiliza protocolos de cold storage para a maioria dos fundos e garante uma segregação efetiva de ativos. Sem estas salvaguardas, a segurança dos depósitos permanece meramente teórica.