A plataforma de finanças descentralizadas Moonwell sofreu uma exploração de $1 milhão em 4 de novembro de 2025, expondo vulnerabilidades críticas em como os protocolos DeFi dependem de dados de preços externos. O ataque teve como alvo as operações do protocolo de empréstimo nas redes Base e Optimism, esgotando fundos por meio de uma sofisticada exploração de flash loan que manipulou feeds de preços do oracle.
O incidente se desenrolou quando a empresa de segurança blockchain BlockSec detectou transações suspeitas direcionadas aos contratos inteligentes do Moonwell. De acordo com sua análise, os atacantes exploraram um feed rsETH/ETH de oracle com falha que relatou incorretamente o preço do ETH restaked e embrulhado (wrstETH) como aproximadamente $5.8 milhões por token - uma supervalorização massiva em comparação com o preço de mercado real de menos de $3.500 para o ETH subjacente.
Usando esse erro de precificação, o hacker executou ataques repetidos de flash loan que permitiram que emprestassem quantias substanciais de criptomoeda contra um colateral mínimo. A empresa de segurança CertiK relatou que o atacante "foi capaz de repetidamente emprestar mais de 20 wstETH com apenas ~0,02 wrstETH emprestado e depositado" devido ao mau funcionamento do oracle.
A exploração, em última análise, rendeu ao hacker aproximadamente 295 ETH, avaliado em cerca de $1 milhão.
Um Padrão de Vulnerabilidades
Esta última violação representa o quarto incidente de segurança significativo para o Moonwell em três anos, levantando sérias questões sobre a infraestrutura de segurança do protocolo. A plataforma anteriormente perdeu $1,7 milhão em outubro de 2025 durante um colapso de mercado desencadeado por anúncios de tarifas, quando lacunas de preços oracle-DEX permitiram que atacantes explorassem mecanismos de liquidação.
Em dezembro de 2024, o Moonwell sofreu um ataque de flash loan de $320.000 visando seu contrato de empréstimo USDC, onde um contrato malicioso disfarçado como um "mToken" concedeu aprovações de token não autorizadas. O atacante usou Tornado Cash para financiar a carteira e rapidamente trocou o USDC roubado por DAI antes que as autoridades pudessem responder.
O protocolo também passou por problemas relacionados ao incidente da Nomad Bridge em 2022, embora o impacto financeiro exato permaneça incerto. Esse histórico preocupante levou o auditor de segurança QuillAudits a notar: "Outro dia, outra exploração do Moonwell. 4º incidente importante em 3 anos."
Impacto no Mercado e Confiança dos Investidores
A exploração enviou ondas de choque imediatas através do ecossistema Moonwell. O token WELL despencou 13,5% em um único dia após as notícias do ataque, significativamente pior do que o declínio de 3,95% do mercado de criptomoedas em geral. Em 4 de novembro, o WELL era negociado a aproximadamente $0,0155, representando uma queda de 51% no mês passado e estendendo as perdas de máximos históricos para mais de 96%.
O momento provou ser particularmente inoportuno para o Moonwell, que havia acabado de relatar receitas recordes de taxas em outubro, distribuindo $2,12 milhões para credores e reservas no Base e Optimism. A plataforma atribuiu esse sucesso ao "aumento da demanda por empréstimos → taxas mais altas → mais receita → mais WELL adquirido em leilões de reserva todos os meses." No entanto, a última violação de segurança ofuscou essas métricas positivas e levantou preocupações sobre saídas de capital do protocolo.
Acrescentando ao desconforto dos investidores, o Moonwell descontinuou seu programa de recompensas de bugs no Immunefi no início de 2025, poucos meses antes desses ataques importantes ocorrerem. Essa decisão agora parece questionável, dadas as falhas subsequentes de segurança.
O Problema do Oracle em DeFi
O incidente do Moonwell destaca um desafio fundamental enfrentado pelas finanças descentralizadas: a dependência de fontes de dados externas chamadas oracles. Esses sistemas fornecem informações do mundo real, como preços de ativos, aos contratos inteligentes, mas introduzem potenciais pontos de falha.
Neste caso, a exploração teve origem em uma vulnerabilidade de oracle fora da cadeia no feed de preço rsETH/ETH, potencialmente fornecida pela Chainlink. Analistas de segurança observaram que a configuração do oracle incluía "intervalos de latidos arcaicos e limiares de desvio amplos," permitindo desvios de preço significativos antes de acionar atualizações.
O próprio método de ataque foi sofisticado. Usando flash loans - empréstimos não colateralizados que devem ser reembolsados dentro de uma única transação - o hacker inflou valores de colateral baseados nos dados incorretos do oracle. Porque o protocolo avaliou o pequeno depósito de 0,02 wrstETH em mais de $116.000, o atacante pôde emprestar 20 wstETH por transação, esvaziando as reservas do Moonwell em múltiplas operações.
Analistas de blockchain acreditam que bots MEV (valor máximo extraível) podem ter estado envolvidos na identificação e exploração da vulnerabilidade, destacando como sistemas de negociação automatizados podem capitalizar rapidamente sobre fraquezas do protocolo.
Crise de Segurança DeFi Ampla
A exploração do Moonwell ocorreu em um período particularmente turbulento para as finanças descentralizadas. Apenas um dia antes, em 3 de novembro, o Balancer sofreu um devastador hack de $128 milhões afetando seus pools V2 em várias blockchains, incluindo Ethereum, Berachain, Arbitrum, Base, Optimism, e Polygon.
O ataque ao Balancer explorou uma vulnerabilidade de controle de acesso defeituosa nos "pools potenciados" do protocolo e na função "manageUserBalance", apesar de o código base ter passado por 11 auditorias de segurança separadas desde 2021. Este choque de realidade demonstrou que mesmo auditorias extensivas não podem garantir a segurança do protocolo.
Além disso, a Berachain, uma blockchain compatível com Ethereum de Camada 1, sofreu uma exploração ligada ao tripool Ethena/Honey. A Fundação Berachain pausou temporariamente sua rede para evitar mais danos, com o Chefe de Segurança, Smokey The Bera, explicando: "Quando aproximadamente $12 milhões de fundos de usuários estão em risco... tentamos coordenar o conjunto de validadores para proteger esses usuários."
Juntos, esses três incidentes no início de novembro de 2025 apagaram pelo menos $222 milhões de protocolos DeFi, segundo The Block, expondo a natureza profundamente interconectada dos sistemas de liquidez e colateral através das redes blockchain.
Pensamentos finais
Embora os dados PeckShield mostrem que as perdas por hacks no DeFi caíram 85,7% em outubro para $18,18 milhões em 15 incidentes - abaixo de mais de $127 milhões em setembro - os ataques de novembro demonstram que vulnerabilidades significativas persistem. A manipulação de oracle e explorações de flash loans permanecem entre os vetores de ataque mais eficazes contra protocolos DeFi.
Especialistas da indústria argumentam que esses incidentes provavelmente acelerarão as chamadas para requisitos de validação de oracle mais rígidos e sistemas de verificação de preços multi-fonte. Os protocolos DeFi podem precisar implementar verificações de sanidade de preços mais robustas, intervalos de latidos mais rápidos para atualizações de oracle, e circuit breakers que pausam operações quando movimentos de preços incomuns são detectados.
Para o Moonwell especificamente, o caminho para reconstruir a confiança parece desafiador. Com o valor total bloqueado diminuindo de quase $400 milhões no pico para aproximadamente $234 milhões antes do último ataque, e mais declínios esperados, o protocolo enfrenta pressão para implementar atualizações de segurança abrangentes e, potencialmente, compensar os usuários afetados.
As explorações de novembro de 2025 servem como um lembrete claro de que, apesar de anos de desenvolvimento e bilhões de dólares bloqueados em protocolos DeFi, o setor permanece vulnerável a ataques sofisticados. À medida que a adoção cresce e mais capital institucional flui para as finanças descentralizadas, a necessidade de medidas de segurança mais fortes, melhores sistemas de oracle e gerenciamento de risco mais abrangente nunca foi tão crítica.