A empresa de segurança blockchain PeckShield detectou atividade suspeita no Shib Arium na última sexta-feira. Investigadores de segurança encontraram chaves de validadores vazadas no Shib Aswap, o que levou a uma perda estimada de US$ 2,8 milhões em Shib .
A equipe Shiba Inu publicou no X por volta das 21h UTC, dizendo que "estava ciente da atividade sinalizada pelo PeckShield" e que havia contatado tanto os desenvolvedores internos quanto os parceiros de segurança externos para investigar a vulnerabilidade.
“Neste momento, estamos trabalhando para confirmar a causa raiz e garantir que todas as medidas de mitigação possíveis sejam implementadas. Um relatório completo com as conclusões e os próximos passos será publicado assim que a investigação for concluída”, escreveu a equipe do ShibInu.
10 de 12 transações maliciosas aprovadas pelo validador SHIB
A empresa de auditoria de redes Web 2.0 e Web 3, Tikkala Security, confirmou que um atacante invadiu o sistema de tokens da Shiba Inu, enviando solicitações de saída válidas da folha Merkle, assinadas por múltiplos validadores. O endereço da carteira do atacante retirou fundos em diversas instâncias, burlando as proteções destinadas a salvaguardar o gerenciador da cadeia raiz.
De acordo com dados do Etherscan, o endereço agora detém mais de US$ 700.000 em tokens ERC-20.
“O ataque parece ter comprometido 10 das 12 chaves de assinatura dos validadores ShibArium, o que permitiu a aprovação de um estado raiz malicioso”, explicou Tikkala, fornecendo imagens dos eventos. Apenas os validadores operados pela K9 Finance e UnificationUND foram confirmados como tendo se recusado a assinar a transação maliciosa.
O ataque teve origem em um ponto de controle comprometido, onde uma raiz Merkle aparentemente legítima foi inserida. Dados da blockchain do Etherscan mostram que, após a adição da raiz maliciosa, o atacante desviou mais US$ 1 milhão por meio de uma grande transação subsequente.
3/ trac Shib aswap https://t.co/Qgshvoiwbt usa o hash Merkle raiz armazenado em cada ponto de verificação. De alguma forma, um ataque poderia adicionar um hash raiz de ponto de verificação "legítimo" com assinaturas de 10 signatários . pic.twitter.com/SvGYxuOyx3
– Tikkala Security (@TikkalaResearch) 12 de setembro de 2025
Os investigadores também descobriram que o atacante usou um empréstimo relâmpago da Shibaswap para obter 4,6 milhões de tokens BONE. Inicialmente comemorado por alguns como uma grande compra de BONE no valor de US$ 1 milhão, tratava-se, na verdade, de parte da exploração da vulnerabilidade. Após adquirir os tokens temporariamente, o atacante obteve poder de voto majoritário sobre os validadores da Shibarium, permitindo-lhes aprovar um estado malicioso na rede.
Na mesma transação, o atacante quitou o empréstimo relâmpago liquidando ativos obtidos da ponte. Ele vendeu Shib a Inu e Ether obtidos durante a exploração para cobrir os fundos emprestados, drenando 224,57 Ether e aproximadamente 92,6 bilhões de Shib a Inu. Desse montante, 216 Ether foram usados para liquidar o empréstimo relâmpago, restando o restante como lucro.
Otracdo gerenciador da rootchain Shibaswap, que verifica os saques em relação aos hashes Merkle raiz armazenados, dá ao atacante margem para manipular solicitações de saque de formadefi, e as perdas podem continuar se a equipe Shibarium não agir em breve.
Todas as questões apontavam para a governança
Os críticos do X argumentam que Shiba Inu possui uma "descentralização falsa", porque outros protocolos enfrentaram os mesmos problemas de domínio de validadores sem perder fundos.
“Os desenvolvedores do Qom também viram esse problema no QL1. Alguém tentou sabotar a rede controlando 60% dos validadores. Mas os desenvolvedores do QL1 removeram rapidamente o agente malicioso. Os desenvolvedores do Shiba Inu e Shibarium não conseguiram fazer o mesmo”, conjecturou um crítico.
Apesar da violação de segurança, o token da Shiba Inu estava sendo negociado a US$ 0,00001416 no momento desta publicação, com alta de 0,50% na última hora e de 5,25% nas últimas 24 horas.
A capitalização de mercado do token registrou um aumento de 5,24%, atingindo US$ 8,26 bilhões. De acordo com a análise da Cryptopolitan Shib a Inu enfrenta um teste em sua média móvel exponencial de 200 dias, em US$ 0,0000138. Uma ruptura decisiva poderia impulsionar os preços para a faixa de US$ 0,000020 a US$ 0,000024, enquanto uma falha nesse nível significa mais consolidações e pressões negativas sobre os preços.
