O Protocolo: Bug que pode esvaziar todos os seus tokens impactando 'milhares' de sites

Bem-vindo ao The Protocol, o resumo semanal da CoinDesk com as notícias mais importantes sobre o desenvolvimento tecnológico em criptomoedas. Sou Margaux Nijkerk, repórter da CoinDesk.

Nesta edição:

• Novo bug do React que pode drenar todos os seus tokens está impactando 'milhares' de sites
• Ripple Expande Stablecoin RLUSD de US$ 1,3 bilhão para Ethereum L2s via Wormhole em Impulso Multichain
• Aave DAO Reage à Mudança das Taxas de Interface para Fora do Tesouro
• Projeto de NFT Pudgy Penguins domina a Las Vegas Sphere em campanha de fim de ano

Notícias da Rede

VULNERABILIDADE QUE PODE ESGOTAR CARTEIRAS AFETA MILHARES DE SITES: A vulnerabilidade crítica em React Server Components está sendo ativamente explorado por múltiplos grupos de ameaça, colocando milhares de sites — incluindo plataformas de criptomoedas — em risco imediato, com usuários possivelmente vendo todos os seus ativos drenados, se impactados. A falha, rastreada como CVE-2025-55182 e apelidada de React2Shell, permite que atacantes executem código remotamente em servidores afetados sem autenticação. Os mantenedores do React divulgaram o problema em 3 de dezembro e atribuíram a ele a maior pontuação possível de severidade. Logo após a divulgação, a GTIG observou uma exploração generalizada por criminosos motivados financeiramente e grupos de hackers supostamente apoiados por estados, visando aplicações React e Next.js não atualizadas em ambientes de nuvem. Os Componentes de Servidor do React são usados para executar partes de uma aplicação web diretamente em um servidor, em vez de no navegador do usuário. A vulnerabilidade decorre da forma como o React decodifica as requisições recebidas para essas funções do lado do servidor. Em termos simples, atacantes podem enviar uma requisição web especialmente elaborada que engana o servidor para executar comandos arbitrários, ou efetivamente entregar o controle do sistema ao atacante. O bug afeta as versões do React de 19.0 até 19.2.0, incluindo pacotes utilizados por frameworks populares, como o Next.js. Ter apenas os pacotes vulneráveis instalados frequentemente é suficiente para permitir a exploração.— Shaurya Malwa Leia mais.

RIPPLE CHEGANDO ÀS ETH L2S: A Ripple, empresa de blockchain focada em pagamentos e intimamente ligada ao XRP Ledger (XRP), está levando sua stablecoin respaldada em dólar americano para blockchains layer-2 (L2) do Ethereum, incluindo Optimism, Base da Coinbase, Ink da Kraken e Uniswap's Unichain, em uma iniciativa para inserir o token de US$ 1,3 bilhão mais profundamente no ecossistema multichain. A empresa informou que está começando com uma fase de testes antes de uma implantação mais ampla prevista para o próximo ano, sujeita à aprovação regulatória pelo Departamento de Serviços Financeiros de Nova York (NYDFS). O projeto piloto integra o padrão Native Token Transfers (NTT) da Wormhole, que permite que o RLUSD seja movimentado nativamente entre cadeias sem necessidade de wrapping ou ativos sintéticos. Isso ajuda a manter a liquidez e o controle regulatório, ao mesmo tempo em que suporta uma variedade de casos de uso de finanças descentralizadas (DeFi) em redes otimizadas para velocidade e menores custos. Stablecoins estão crescendo rapidamente como uma peça fundamental da infraestrutura financeira digital que conecta as finanças tradicionais à economia cripto. Elas representam uma classe de criptomoedas avaliada em US$ 300 bilhões, com preços atrelados a moedas fiduciárias como o dólar norte-americano. — Krisztian Sandor Leia mais.

DEBATE SOBRE INTERFACE DO PROTOCOLO AAVE SE INTENSIFICA: Um debate dentro da DAO da Aave está levantando questões sobre quem controla a interface do protocolo e quem se beneficia financeiramente dela. A questão surgiu após a Aave Labs integrar o agregador de troca descentralizada CoWSwap na interface app.aave.com no início deste mês, substituindo o roteamento anterior do Paraswap usado para trocas de garantias. Embora a mudança tenha sido apresentada como uma melhoria na experiência do usuário, oferecendo execução aprimorada e proteção contra MEV, os delegados apontaram posteriormente que as taxas relacionadas às trocas não estavam mais sendo direcionadas ao tesouro da DAO da Aave. Um carta aberta do delegado da Orbit, EzR3aL, argumentou que a integração introduziu taxas front-end de aproximadamente 15 a 25 pontos base que são acumuladas por um destinatário externo em vez da DAO. Dados on-chain citados na publicação mostraram distribuições semanais de ether vinculadas ao mecanismo de taxa de parceiro do CoWSwap em várias redes, potencialmente totalizando milhões de dólares anualmente. Esse excedente desde então diminuiu à medida que o roteamento mudou para o modelo de leilão em lote do CoWSwap, que prioriza a certeza de execução em relação à melhoria de preço. Mas no centro do debate está uma distinção que a Aave Labs afirma ter existido sempre: o protocolo versus o produto. Em um resposta no fórum, Aave Labs afirmou que a interface é operada, financiada e mantida de forma independente do protocolo governado pela DAO. Sob esse modelo, a DAO controla os parâmetros on-chain, as taxas de juros e as taxas em nível de protocolo, enquanto a Labs mantém discrição sobre recursos opcionais em nível de aplicação, como direcionamento de swaps e monetização da interface. “Qualquer monetização aplica-se somente a recursos acessórias,” escreveu a Aave Labs, argumentando que essa separação preserva a neutralidade do protocolo e evita a centralização do controle econômico na camada base. Críticos, entretanto, afirmam que a realidade prática tem sido diferente. Marc Zeller, da Aave Chan Initiative (ACI), disse que havia uma expectativa de longa data de que a monetização vinculada à interface aave.com — incluindo o excedente de swaps e a execução assistida por flash loans — beneficiaria a DAO, especialmente considerando que a marca, a legitimidade da governança e grande parte do desenvolvimento subjacente foram financiados pelos detentores de tokens. — Shaurya Malwa Leia mais.

PUDGY PENGUINS DOMINAM LAS VEGAS: Uma vez um projeto de token não fungível (NFT) de destaque durante o boom das criptomoedas em 2021, o Pudgy Penguins está buscando visibilidade no mundo real com uma colocação publicitária de alto perfil na Sphere de Las Vegas durante a semana do Natal. Apenas algumas marcas relacionadas a criptomoedas conseguiram espaço publicitário na Sphere, um enorme local coberto por LED conhecido por suas exibições imersivas e performances de artistas como U2 e Eagles. A ativação focada em bitcoin foi veiculado em julho, mas outros exemplos têm sido raros. O anúncio do Pudgy Penguins será exibido por vários dias a partir de 24 de dezembro e incluirá múltiplos segmentos animados, segundo uma pessoa familiarizada com o acordo. A marca gastou cerca de US$ 500.000 na veiculação — valor padrão para uma campanha na Sphere. “Isso mostra que um projeto cripto pode ir além do universo cripto, tocando os corações e mentes dos consumidores comuns”, disse Vedant Mangaldas, chefe de estratégia e marca do Pudgy Penguins, à CoinDesk. Ele afirmou que o acordo foi possível porque o projeto possui um “negócio real” por trás. – Helene Braun Leia mais.

Em Outras Notícias

• A Securitize oferecerá o que chama de a primeira plataforma de negociação onchain totalmente compatível para ações públicas reais no início de 2026, borrando as linhas entre os mercados tradicionais e a infraestrutura Web3. O sistema da empresa permite que os investidores possuam diretamente ações tokenizadas de empresas públicas, emitidas e registradas onchain, e negociáveis por meio de uma interface baseada em blockchain, de acordo com um anúncio. Ao contrário dos modelos de tokens sintéticos que acompanham preços de ações por meio de entidades offshore ou derivativos, a abordagem da Securitize oferece propriedade legal plena. Cada ação é emitida pela própria empresa e registrada em sua tabela oficial de capitalização, informou a empresa. “Este não é um rastreador de preços sintético nem uma promessa de pagamento contra um custodiante”, escreveu a Securitize em seu anúncio. “Estas são ações reais e regulamentadas: emitidas onchain, registradas diretamente na tabela de capitalização do emissor e negociáveis através de uma experiência familiar de swap no estilo Web3.” Isso significa que os detentores de tokens obtêm direitos reais de acionistas, incluindo dividendos e privilégios de voto, e seus ativos ficam sob autocustódia, sem intermediários que rehipotecam ações nos bastidores. No entanto, os ativos são permissionados e só podem ser transferidos entre carteiras compatíveis e na lista branca. — Francesco Rodrigues Leia mais.
• O gigante dos cartões de crédito Visa (V) está lançando a liquidação em USDC nos Estados Unidos, permitindo que parceiros emissores e adquirentes quitem obrigações com a rede de cartões utilizando a stablecoin atrelada ao dólar da Circle. A iniciativa marca a fase norte-americana de um programa de liquidação por stablecoin que alcançou uma taxa anualizada de US$ 3,5 bilhões em 30 de novembro, conforme comunicado à imprensa da Visa. A nova opção visa proporcionar a bancos e fintechs uma movimentação quase instantânea de fundos, liquidação sete dias por semana e maior previsibilidade de liquidez durante fins de semana e feriados, ao mesmo tempo que mantém inalterada a experiência do consumidor com o cartão. — Will Canny Leia mais.

Regulação e Política

• A senadora dos EUA, Elizabeth Warren, tem solicitou outra investigação de segurança nacional dos EUA para um segmento do setor cripto, especificando preocupações com a PancakeSwap, uma exchange descentralizada que ela apontou como tentando amplificar moedas emitidas pela World Liberty Financial Inc., ligada ao ex-presidente Donald Trump. Ela afirmou a exchange, que opera em várias blockchains e é um protocolo importante na cadeia da Binance, deve ser analisado quanto à conexão com "qualquer influência política indevida da Administração Trump sobre decisões de execução", disse Warren em uma carta na segunda-feira ao Secretário do Tesouro Scott Bessent e à Procuradora Geral Pam Bondi, solicitando que investiguem o caso, ecoando um pedido similar com o qual ela esteve envolvida no mês passado a respeito da WLFI. “À medida que o Congresso considera a legislação sobre a estrutura do mercado de criptomoedas — incluindo regras para impedir que terroristas, criminosos e Estados desonestos explorem as finanças descentralizadas (DeFi) para financiar suas atividades — é fundamental entender se vocês estão investigando seriamente esses riscos”, escreveu Warren, que é a democrata líder no Comitê Bancário do Senado, que deve analisar a legislação e aprová-la antes que o Senado como um todo possa realizar a votação. — Jesse Hamilton Leia mais.
• A Federal Deposit Insurance Corp. dos EUA lançou o primeira proposta oficial de regra decorrente da nova lei que regula os emissores de stablecoins, com seu conselho votando para abrir um período de comentários públicos de 60 dias sobre seu sistema de tratamento de pedidos de seus bancos regulamentados que desejam emitir stablecoins por meio de subsidiárias. A agência — liderada pelo presidente em exercício Travis Hill, que também é o indicado do presidente Donald Trump para o assento permanente — coletará comentários e os analisará antes de liberar uma regra final. A terça-feira proposta, aprovado por todos os três membros do conselho reduzido, estabeleceria os procedimentos para a aceitação de inscrições, sua revisão dentro de uma janela de aprovação de 120 dias e ofereceria um processo de recurso para os rejeitados. “De acordo com a proposta, o FDIC adotaria um processo de inscrição personalizado que permitiria ao FDIC avaliar a segurança e solidez das atividades propostas pelo candidato com base nos fatores estatutários, minimizando ao mesmo tempo o ônus regulatório sobre os candidatos,” disse Hill, cuja nomeação pode ser confirmada já nesta semana pelo Senado. A Lei de Orientação e Estabelecimento da Inovação Nacional para Stablecoins nos EUA (GENIUS) foi a primeira grande legislação sobre criptomoedas aprovada pelo Congresso, estabelecendo um complexo conjunto de reguladores para empresas que desejam emitir stablecoins, os tokens vinculados ao dólar essenciais para as transações no setor de ativos digitais. Para instituições depositárias asseguradas, o FDIC é o regulador designado. — Jesse Hamilton Leia mais.

Calendário

• 10 a 12 de fevereiro de 2026: Consenso, Hong Kong
• 17 a 21 de fev. de 2026: EthDenver, Denver
• 30 de mar. a 2 de abr. de 2026: EthCC, Cannes
• 15-16 de abril de 2026: Paris Blockchain Week, Paris
• 5 a 7 de maio de 2026: Consenso, Miami