A empresa de segurança on-chain Blockaid afirmou que, em 20 de maio, monitorou que o componente de ponte cross-chain Butter Bridge V3.1, do MAP Protocol, foi atacado no Ethereum e na BSC. O atacante explorou uma falha de design no smart contract e induziu o contrato de ponte a cunhar ilegalmente cerca de 10.000 trilhões de MAPO em um endereço recém-criado, o que equivale a 4,8 milhões de vezes o volume de circulação legítimo, de aproximadamente 208 milhões de unidades.
Mecanismo do ataque: falha de design em smart contract no fluxo de validação por reenvio de mensagens
A Blockaid confirmou que a raiz deste ataque foi uma falha de design de smart contract no fluxo de validação por reenvio (retry) do Butter Bridge V3.1, ou seja, um problema na camada de implementação do contrato, e não uma falha na arquitetura de base do protocolo MAP Protocol. O atacante, ao induzir a execução do contrato por uma rota de validação incorreta, fez o contrato de ponte contornar a checagem de credenciais cross-chain legítimas e cunhar diretamente os tokens na rede Ethereum para um novo endereço EOA.
Em termos técnicos, uma ponte cross-chain precisa validar simultaneamente mensagens vindas de duas blockchains independentes, cada uma com seu próprio mecanismo de consenso, modelo de segurança e regras de confirmação final das transações. O MAP Protocol adota um modelo peer-to-peer e validação leve, que teoricamente apresenta uma superfície de ataque menor do que esquemas que dependem de validadores de terceiros confiáveis. No entanto, neste caso, a falha de design na lógica de reenvio do contrato forneceu uma brecha explorável. A Butter Network confirmou que os trabalhos de correção, auditoria e nova implantação estão em andamento.
Escala de perdas e reação do mercado do MAPO: dados já confirmados
Valor em caixa já sacado pelo atacante: 52,21 ETH (aproximadamente US$ 180 mil), proveniente do pool de liquidez Uniswap V4 ETH/MAPO
Posição restante do atacante: cerca de 9.999,99 bilhões de MAPO, ainda na carteira do atacante, representando risco contínuo para todos os pools de liquidez relacionados ao MAPO e para listagens em CEX
Impacto no preço do MAPO: queda de cerca de 30% no dia após a venda
Total de cunhagem ilegal: cerca de 10.000 trilhões de tokens, equivalente a 4,8 milhões de vezes o volume de circulação legítimo (208 milhões)
Perdas acumuladas em ataques a pontes cross-chain em 2026 (até meados de maio): mais de US$ 328,6 milhões
Medidas de resposta confirmadas pelo MAP Protocol e pela Butter Network
A declaração oficial do MAP Protocol confirmou as seguintes medidas de contenção já executadas: a ponte entre o MAPO ERC-20 e a mainnet do MAPO foi pausada; o time alertou os usuários para não negociarem o token MAPO ERC-20 na Uniswap no momento, e, durante o período de mitigação do evento, os pools de liquidez ainda apresentam riscos; a equipe está coordenando com parceiros externos de segurança para realizar a investigação.
A declaração oficial da Butter Network confirmou: a ButterSwap suspendeu todas as operações; os trabalhos de correção, auditoria e nova implantação estão em andamento; transações pendentes serão tratadas após a recuperação de segurança; os fundos dos usuários não sofreram perdas diretas, e todas as transações afetadas serão processadas integralmente após a recuperação do sistema.
Perguntas frequentes
Este ataque se enquadra como uma falha na arquitetura de base do protocolo MAP Protocol?
A Blockaid confirmou que esta vulnerabilidade é um problema de design de smart contract do Butter Bridge V3.1, especificamente ocorrendo no fluxo de validação por reenvio de mensagens. Trata-se de uma falha na camada de implementação do contrato, e não de uma falha fundamental na arquitetura peer-to-peer subjacente do MAP Protocol ou no modelo de validação leve. A Butter Network, no momento, está corrigindo e realizando uma nova auditoria desse componente.
Por que a carteira do atacante, com cerca de 9.999 bilhões de MAPO restantes, representa um risco contínuo?
A carteira do atacante ainda detém cerca de 9.999,99 bilhões de MAPO da cunhagem ilegal, muito acima do volume de circulação legítimo (208 milhões), em milhares de vezes. Se o atacante decidir colocar esses tokens em qualquer pool de liquidez do MAPO ou solicitar listagem em qualquer exchange centralizada (CEX), isso terá um impacto enorme no preço e na liquidez do mercado de MAPO. O anúncio da Blockaid destaca claramente que esta posição “representa risco contínuo para qualquer pool de MAPO ou para listagens em CEX”.
Por que as pontes cross-chain seguem sendo um alvo de alto risco para ataques na ecossistema DeFi?
Em sua arquitetura técnica, as pontes cross-chain precisam processar mensagens de duas blockchains independentes ao mesmo tempo, e cada cadeia tem mecanismos de consenso, modelos de segurança e regras de confirmação final diferentes. Normalmente, o contrato de ponte trava grandes quantidades de ativos em uma das cadeias e cunha os tokens correspondentes na outra. Se a lógica de ponte tiver falhas, o atacante pode roubar os ativos travados ou cunhar tokens sem lastro de fundos. Casos históricos incluem o roubo de mais de US$ 186 milhões no Nomad Bridge em 2022 (erro de autenticação), ataques ao Ronin Bridge e ao Wormhole; até 2026, as perdas acumuladas desse tipo de ataque já superaram US$ 328,6 milhões.
