Um hacker ligado ao ataque de 2022 à Voltage Finance, um protocolo de empréstimo descentralizado construído na rede Fuse, movimentou uma parte significativa dos fundos roubados após meses de inatividade. A empresa de segurança blockchain CertiK revelou em 6 de maio que o hacker transferiu 100 Ether, avaliados em aproximadamente US$ 182.783, através do serviço de mistura de criptomoedas Tornado Cash.
Segundo a investigação da CertiK, o endereço da carteira usado na transação ficou inativo por 166 dias, sem qualquer movimentação desde novembro. O endereço está vinculado à exploração original e pode ser tracaté atividades anteriores envolvendo o hacker.
Nosso sistema de alertas detectou
depósitos de 100 ETH da @Tornado CashO trac remonta a uma exploração de aproximadamente US$ 4 milhões pela Voltage Finance
na plataforma Fuse, em março de 2022.Fiquem vigilantes! pic.twitter.com/eyqH1HbN3F
— CertiK Alert (@CertiKAlert) 6 de maio de 2025
A empresa de segurança blockchain também explicou que o hacker usou o Tornado Cash, que foi sancionado pelo Tesouro dos EUA em 2022 por facilitar a lavagem de dinheiro, para ocultar as transações na blockchain e impedir que os investigadores traca movimentação dos fundos.
Exploração original da Voltage Finance de 2022
A Voltage foi alvo de um ataque hacker em 31 de março de 2022, e o hacker levou consigo cerca de US$ 4,67 milhões em tokens digitais. Segundo relatos, ele explorou uma vulnerabilidade no padrão de token ERC677 por meio de uma função de retorno de chamada (callback) integrada. Essa função permitiu que o hacker executasse um ataque de reentrância e drenasse com sucesso os fundos do pool de empréstimos da plataforma.
Na fase inicial do ataque, o criminoso utilizou um empréstimo relâmpago de 515 Wrapped Ether (WETH) do par WETH-WBTC na Voltage Finance para iniciar a exploração.
A Voltage Finance opera como um protocolo descentralizado que permite a negociação automatizada de tokens na rede Fuse. O atacante explorou essa infraestrutura manipulando ostracinteligentes da plataforma por meio de tokens encapsulados e empréstimos relâmpago.
A Ola Finance, a rede multiprotocolo que dá suporte à Voltage, divulgou um relatório pós-incidente dois dias após o ocorrido dent mostrando que a vulnerabilidade era específica da sua implementação do Fuse. Os desenvolvedores afirmaram que ataques semelhantes não afetariam outras redes de empréstimo no ecossistema da Ola.
No total, o atacante desviou 216.964,18 USDC, 507.216,68 BUSD, 200.000 fUSD, 550,45 Wrapped Ether (wETH), 26,25 Wrapped Bitcoin (wBTC) e 1.240.000 tokens FUSE.
“ Em transações posteriores, o atacante evitou um empréstimo relâmpago usando fundos que já haviam sido roubados ”, afirmou a Ola em seu relatório.
Outra vulnerabilidade será explorada em março de 2025
A Voltage Finance foi alvo de um novo ataque em 18 de março deste ano, desta vez envolvendo seus pools de Simple Staking. O saque não autorizado resultou no roubo de US$ 171.027,20 em USDCE e US$ 151.085,87 em wETH. A plataforma suspendeu as atividades no pool para impedir o desvio de fundos e afirmou estar "trabalhando com urgência paradento hacker"
De acordo com uma reportagem da Voltage Finance publicada no Medium em 20 de março, o ataque começou quando um segundo indivíduo desconhecido, identificado como Atacante 2, retirou ETH da corretora de criptomoedas HTX. O Atacante 2 transferiu os ativos roubados para o Atacante 1, que usou o dinheiro para comprar tokens FUSE via ChangeNow, conectados à rede através da LayerZero.
A partir daí, os ativos roubados foram transferidos de volta para Ethereum e movimentados por diversas carteiras e transações. Os fundos foram então repassados do Atacante 1 para o Atacante 3, que recebeu fundos adicionais via SimpleSwap.
O atacante 3 depositou alguns dos tokens na corretora KuCoin, mas trocou e retirou outros de volta para o primeiro hacker para completar o ciclo de lavagem de dinheiro.
“ Como suas transações passaram pela KuCoin, iniciamos uma cooperação para identificá dent lo. Preferimos resolver essa situação pacificamente. Oferecemos uma recompensa de US$ 50 mil pela devolução de todos os fundos ”, disse a Voltage Finance ao hacker em sua publicação no
De acordo com um relatório recente da empresa de segurança blockchain Immunefi, as perdas decorrentes de ataques e explorações cibernéticas relacionadas a criptomoedas atingiram US$ 1,74 bilhão somente neste ano, já ultrapassando o total de US$ 1,49 bilhão registrado em todo o ano de 2024. O total acumulado em 2025 representa um aumento de quase quatro vezes em relação aos US$ 420 milhões relatados no mesmo período de 2024.
