A blockchain Flow foi alvo de um ataque de 3,9 milhões de dólares, e a proposta de rollback de emergência gerou forte oposição dos parceiros do ecossistema

A blockchain Flow sofreu um grave incidente de segurança a 27 de dezembro, quando uma suspeita fuga de chave privada levou à emissão ilegal de ativos adicionais por parte de um atacante, resultando numa perda de aproximadamente 3,9 milhões de dólares americanos, e o preço do seu token nativo FLOW caiu mais de 40%. Após o incidente, a Flow Foundation anunciou urgentemente que iria reverter a rede até ao ponto de estado anterior ao ataque para “apagar” a transação de ataque, mas esta decisão unilateral foi imediatamente fortemente contestada pelos parceiros centrais cross-chain bridge, incluindo a deBridge e a LayerZero, que a criticaram pela falta de comunicação e potencial para causar “desastres secundários”. Esta crise não só expôs as vulnerabilidades de segurança e governação da blockchain, outrora famosa como NBA Top Shot, como também colocou a contradição fundamental entre o princípio “imutável” da blockchain e os métodos de resposta a crises, bem como os desafios da governação colaborativa ecológica, voltando a colocá-la em destaque na indústria.

Surto de Crise: Uma reação em cadeia desde fuga de chaves privadas até colapso repentino do mercado

A 27 de dezembro, hora de Pequim, um fim de semana pacífico foi interrompido por um anúncio de emergência. A Flow Foundation emitiu um comunicado nas redes sociais dizendo que estava a investigar um “potencial incidente de segurança” que afeta a mainnet da Flow. Quase ao mesmo tempo, o analista on-chain Wazz e o conhecido especialista em segurança Taylor Monahan revelaram mais detalhes: o atacante não explorou uma vulnerabilidade de contrato inteligente, mas suspeitou-se de ter acedido a um endereço de gestão de chaves através de uma fuga de chaves privadas, permitindo-lhes criar uma quantidade ilimitada de tokens nativos FLOW e outros ativos de bridge cross-chain como WBTC e WETH através de um contrato proxy chamado TransparentUpgradeableProxy e várias stablecoins. Este modo de ataque é a linha vital da gestão central do projeto, e a sua natureza destrutiva é muito maior do que a das vulnerabilidades normais de contratos.

A reação do mercado foi rápida e brutal. Após a notícia, o preço do token FLOW caiu de um máximo de cerca de $0,17 em poucas horas, caindo até $0,079, com uma queda máxima intradiária superior a 45%. Embora o preço tenha recuperado ligeiramente acima de $0,10, a evaporação de mais de 40% da capitalização bolsista foi suficiente para assustar os detentores. A volatilidade anormal do mercado desencadeou imediatamente mecanismos de controlo de risco nas plataformas de negociação convencionais, especialmente no altamente regulado mercado sul-coreano. As principais bolsas sul-coreanas, Upbit, Bithumb e Coinone, anunciaram sucessivamente a suspensão do negócio de depósitos e levantamentos da FLOW. A Digital Asset Exchange Alliance (DAXA), que reúne as cinco principais bolsas da Coreia do Sul, também emitiu rapidamente um “Aviso de Risco de Negociação” formal, abrindo caminho para possíveis medidas restritivas adicionais. Uma crise de confiança causada por brechas técnicas espalhou-se instantaneamente por toda a camada de circulação do mercado.

Para muitos observadores familiarizados com a história de Flow, o golpe foi particularmente duro. Criada pela Dapper Labs, esta blockchain de camada 1, outrora conhecida por CryptoKitties e NBA Top Shot, que desencadeou a febre dos NFTs, foi concebida para ser otimizada para aplicações de consumo e colecionáveis digitais. No entanto, à medida que o mercado de NFTs como um todo arrefece, a própria Dapper Labs sofreu múltiplas rondas de despedimentos, e a sua avaliação diminuiu significativamente em relação ao pico de 7,6 mil milhões de dólares em 2021. Este incidente de segurança agravou, sem dúvida, o projeto e a ecologia, que estão num ciclo descendente.

Cronologia e dados do evento de segurança do fluxo

• Ataque ocorrido: 27 de dezembro de 2025 (hora estimada).
• Divulgação oficial: A Flow Foundation confirmou publicamente no sábado, 27 de dezembro, que estava a investigar um “potencial incidente de segurança”.
• Método de ataque: Suspeita-se que a chave privada do endereço de gestão central tenha sido divulgada, e o atacante cunha ilegalmente ativos através de contratos de proxy.
• Escala das perdas: A análise on-chain estima aproximadamente 3,9 milhões de dólares, envolvendo emissão adicional ilegal de FLOW, WBTC, WETH e stablecoins.
• Reação do mercado: O preço do token FLOW caiu mais de 40%, de 0,17 dólares para um mínimo de 0,079 dólares; O volume de negociação de 24 horas disparou para mais de 170 milhões de dólares.
• Medidas da plataforma: Upbit, Bithumb e Coinone da Coreia do Sul suspenderam depósitos e levantamentos; A DAXA emite avisos de risco de negociação.
• Controvérsia do Plano de Resposta: A Flow Foundation decidiu unilateralmente implementar reversões de transações, desencadeando forte oposição de parceiros centrais do ecossistema como a deBridge e a LayerZero.

Tempestade de Controvérsia: Porque é que a decisão unilateral de “reverter” irrita os parceiros centrais?

Após confirmar os danos e suspender a rede, a Flow Foundation anunciou o seu plano de recuperação a 28 de dezembro: planeia reverter o estado da rede para um posto de controlo cerca de seis horas antes do ataque. Isto significa que todas as transações desde o ponto de controlo – sejam transações de ataque ilegais ou transferências legítimas, transações ou interações contratuais feitas por inúmeros utilizadores comuns durante este período – serão “apagadas” e a rede terá de voltar a funcionar a partir desse momento. A lógica da Fundação parece simples: esta é a forma mais completa de remover completamente ativos adicionais maliciosos do livro-razão e restaurar a integridade da rede.

No entanto, esta solução “cirúrgica” causou um alvoroço entre os seus parceiros ecológicos mais importantes. Alex Smirnov, cofundador do protocolo cross-chain bridge deBridge, foi o primeiro a recorrer às redes sociais, afirmando de forma direta que a sua equipa, como principal fornecedora de bridge da Flow, não recebeu qualquer comunicação ou coordenação prévia durante o processo de tomada de decisão. Ele salientou que, embora a Fundação afirme estar numa “janela de sincronização forçada” com parceiros-chave, são completamente mantidos no escuro. Esta ação unilateral sem comunicação foi descrita por Smirnov como um dano secundário que poderia trazer “muito mais do que o ataque original”.

A razão central para a objeção baseia-se na dura verdade: os atacantes já tiveram sucesso. De acordo com registos on-chain, quando a fundação discutiu o rollback, o atacante já tinha transferido os ativos roubados para fora da rede Flow através de pontes cross-chain. Como resultado, os rollbacks deixarão de penalizar os atacantes, mas sim utilizadores inocentes, fornecedores de liquidez e fornecedores de bridge como a deBridge que operam normalmente dentro dessa “janela afetada” de seis horas. Por exemplo, se um utilizador faz a ponte de um ativo de outra cadeia para o Flow e faz uma compra durante esse período, o rollback fará com que o seu ativo “desapareça” enquanto o consumo pode ter ocorrido fora da cadeia, resultando em perdas financeiras reais. Smirnov revelou que até uma bolsa centralizada convencional ligada à deBridge confirmou que desconhecia o plano de reversão, criando confusão e risco significativos sobre a forma como as bolsas lidam com depósitos e levantamentos durante a janela.

A deBridge, juntamente com o LayerZero, outro importante protocolo cross-chain, propôs uma alternativa: executar um hard fork direcionado. Especificamente, corrigir as vulnerabilidades subjacentes na nova cadeia e colocar na lista negra apenas endereços conhecidos por serem controlados por atacantes ou por receber fundos roubados congela os seus ativos. Esta abordagem visa minimizar o impacto sobre participantes honestos, uma estratégia utilizada pela BNB Chain em 2022 ao lidar com roubos de moedas em grande escala semelhantes. Esta controvérsia pública colocou a Flow Foundation num dilema: deve manter-se fiel ao que acredita que resolverá completamente o problema, ou deve dar prioridade à manutenção da frágeis confiança ecológica e colaboração?

Causas raiz das vulnerabilidades e espelhos da indústria: A gestão de chaves privadas tornou-se o calcanhar de Aquiles

Uma análise mais profunda do percurso de ataque deste incidente Flow revela não um exploit vistoso de contrato inteligente, mas sim uma questão de segurança antiga e fundamental – a gestão de chaves privadas. De acordo com a análise preliminar de especialistas em segurança, o padrão de ataque aponta fortemente para o comprometimento da chave privada do administrador de um contrato proxy de atualização com privilégios de alto nível. Isto permite que os atacantes atuem diretamente como “administradores”, contornando todas as verificações lógicas baseadas em código e emitindo mais recursos conforme desejarem.

Este incidente revela implacavelmente que, por mais sofisticado que seja o código da blockchain, a sua segurança depende, em última análise, do elo mais vulnerável da segurança tradicional da informação: a proteção das chaves humanas. Isto está alinhado com a tendência geral no panorama da segurança criptológica em 2025. De acordo com um relatório da Chainalysis, 2025 foi um ano recorde em perdas por violações de segurança, com o total de roubos de criptomoedas a ultrapassar os 3,4 mil milhões de dólares no ano. Entre elas, fugas de chaves privadas substituíram as vulnerabilidades dos contratos inteligentes como o vetor de ataque mais dominante, causando 88% dos fundos roubados só no primeiro trimestre de 2025. Desde o enorme ataque ao Bybit no início do ano até ao Flow atual, vários casos apontam para a ausência generalizada ou falhas de soluções institucionais de gestão de chaves.

O incidente do Flow é um aviso profundo para toda a indústria. Obriga as partes do projeto, especialmente blockchains de camada 1 e protocolos DeFi com complexos mecanismos de multiassinatura e atualização, a revisitar as suas “arquiteturas de contas privilegiadas” e estratégias de gestão do ciclo de vida da chave privada. Depender apenas de carteiras multiassinatura pode não ser suficiente, e como alcançar a descentralização das permissões, a auditabilidade das operações, bem como a transparência e descentralização dos processos de resposta a emergências são questões sérias que afetam todos os projetos. Quando o valor central da blockchain é construído numa narrativa “sem confiança”, a sua gestão subjacente pode colapsar devido ao colapso de um ponto centralizado de confiança, o que, sem dúvida, representa uma enorme ironia e desafio.

Ecologia e acompanhamento do mercado: O caminho para a restauração da confiança é longo

Perante forte reação negativa dos parceiros e pressão da opinião pública, a atitude da Flow Foundation mudou subtilmente, mas de forma importante, num dia. Depois de inicialmente ter avançado firmemente com o plano de recuo, a Fundação divulgou uma atualização a 29 de dezembro, afirmando que estava “a avaliar cuidadosamente o feedback dos parceiros” e que iria “dedicar mais tempo para garantir alinhamento total e amplo apoio dentro da rede.” O comunicado referia que o plano de reparação foi distribuído aos parceiros do ecossistema para avaliação e está a negociar ativamente com operadores de pontes, plataformas de negociação e nós validadores. Isto marca uma mudança na sua estratégia de “execução unilateral” para “procura de consenso”.

No entanto, surgiu uma rutura na confiança. Alex Smirnov, da deBridge, apelou publicamente a todos os validadores do Flow para pausarem a validação das transações na cadeia de rollback até que um plano de compensação claro, uma coordenação ecológica adequada e equipas de segurança intervenham. Esta atitude aberta e pouco cooperativa por parte dos principais fornecedores de serviços de infraestrutura é nada menos do que um ataque técnico a uma rede blockchain que já está em crise. Revela que um ecossistema blockchain saudável depende não só de código e nós, mas também de uma rede colaborativa de confiança mútua composta por programadores, fornecedores de infraestrutura, plataformas de negociação e utilizadores. Uma vez quebrada esta camada social, a recuperação técnica será difícil.

Do ponto de vista do mercado, o preço do token FLOW recuperou ligeiramente após o crash, mas ainda está bem abaixo do nível pré-evento, e levará algum tempo até a confiança do mercado recuperar. Se a plataforma de negociação coreana irá levantar as restrições também dependerá da fiabilidade e transparência da solução final da Fundação. A Flow Foundation comprometeu-se a publicar um relatório detalhado de revisão técnica de incidentes no prazo de 72 horas, e o conteúdo deste relatório — especialmente uma análise honesta de como as chaves privadas foram comprometidas, bem como um compromisso específico com futuras medidas preventivas — será a próxima base chave para o mercado avaliar a sua credibilidade.

Reflexão sobre a Governação: Quando “Imutável” Enfrenta uma “Crise Existencial”

A controvérsia do rollback da Flow toca essencialmente num clássico e sensível dilema filosófico e de governação no espaço blockchain: em casos extremos, será possível sacrificar temporariamente o princípio sagrado da “imutabilidade” em prol da sobrevivência e dos interesses da maioria?

Os defensores dos rollbacks argumentam que os rollbacks ou hard forks são necessários como uma “medida de exceção” em emergências perante ataques que possam destruir a base económica da rede ou causar uma perda em larga escala dos ativos dos utilizadores, como precedente nos primeiros hard forks do Ethereum para recuperar fundos roubados do DAO. O seu argumento central é o pragmatismo e a supremacia da proteção dos ativos dos utilizadores.

Os opositores aderem ao credo da pureza do código, que é a lei e a imutabilidade. Argumentam que qualquer forma de modificação histórica estabelece um precedente perigoso que mina o valor fundamental da blockchain como camada neutra e de confiança em liquidação. A oposição de parceiros como a deBridge acrescenta outra consideração prática: no mundo multi-cadeia altamente interligado de hoje, os rollbacks single-chain podem causar mais caos e danos colaterais do que o ataque original sem coordenação a nível do ecossistema. Esta já não é uma simples escolha técnica, mas uma questão complexa de coordenação multilateral da governação.

O incidente Flow mostra que a nova geração de blockchains L1 precisa de ser concebida não só com desempenho e funcionalidade em mente, mas também com um quadro de resposta a crises consensuais pré-ecológico e uma estrutura de governação para possíveis “piores cenários”. O quadro deve ser claro: Com que gravidade podem ser acionadas medidas de emergência? Quem tem o direito de propor e tomar decisões? Como é que os principais parceiros do ecossistema (pontes, grandes protocolos DeFi, grandes custodiantes de ativos, plataformas de negociação convencionais) são incluídos no ciclo de tomada de decisão? Como avaliar e partilhar as prejuízos de forma justa? Processos transparentes, inclusivos e previamente acordados são muito mais eficazes para proteger o valor a longo prazo do ecossistema do que decisões unilaterais precipitadas tomadas numa crise.

Em última análise, se a Flow conseguirá sobreviver a esta crise não é apenas uma questão de destino, mas também fornece à indústria um argumento atualizado para tecnologia, governação e colaboração ecológica ao lidar com eventos extremos semelhantes. No caminho para uma adoção em larga escala, os cursos de segurança e governação não são menos importantes do que a escalabilidade e a experiência do utilizador.