Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
A verdade explosiva por trás dos criptobots que lideram os ladrões para “economizar” fundos – mas eles decidem quem será reembolsado
A Makina Finance perdeu 1.299 ETH, cerca de US$ 4,13 milhões, em uma exploração de empréstimo flash e manipulação de oráculos.
O invasor drenou os fundos do protocolo e transmitiu a transação para o mempool público do Ethereum, onde deveria ter sido coletada pelos validadores e incluída no próximo bloco.
Em vez disso, um construtor MEV identificado pelo endereço 0xa6c2 liderou a transação de drenagemredirecionando a maior parte dos fundos para a custódia controlada pelo construtor antes que o hacker pudesse movê-los para fora da rede.
A transação do hacker falhou. Os recursos chegaram a dois endereços associados à construtora MEV.
A conclusão imediata é que os usuários de Makina evitaram uma perda total. O sinal mais profundo é quem acabou detendo o dinheiro e o que isso significa para a arquitetura emergente de resposta a emergências da criptografia.
O ator mais importante nesta história não é o invasor ou o protocolo, mas a cadeia de fornecimento de construção de blocos que interceptou a exploração e agora controla se os usuários recuperam seus fundos, em que termos e com que rapidez.
Os bots e construtores MEV estão se tornando a última linha de defesa da criptografia, não por design, mas por posição estrutural. Isto é um problema, porque a capacidade de resgate está concentrada nas mãos de intermediários que maximizam os lucros e que operam com uma responsabilização pouco clara.
MEV como backstop já é um padrão
O incidente Makina não é único. Chainálise documentou uma dinâmica semelhante durante o ano de 2023 Exploração de Curve e Vyperobservando que hackers de chapéu branco e operadores de bot MEV ajudou a recuperar fundoso que reduziu as perdas realizadas abaixo das estimativas iniciais.
O padrão é mecânico: desde que explorações ou tentativas de resgate sejam visíveis em canais de transações públicas, pesquisadores e construtores sofisticados podem competir para reordenar as transações.
Às vezes eles economizam fundos. Às vezes eles os capturam. De qualquer forma, eles estão agindo como uma camada de fato de resposta a emergências.
Quando uma transação de exploração entra no mempool público, Pesquisadores MEV monitorar oportunidades lucrativas. Se um hacker esgotar um protocolo e transmitir a transação publicamente, um pesquisador poderá construir uma transação concorrente que seja executada primeiro, redirecionando os fundos para um endereço diferente.
O pesquisador agrupa a transação e a envia a um construtor de bloco, que a inclui se o lucro exceder os lances concorrentes. Se o bloco construtor for escolhido por um validador, a transação do pesquisador será executada e a transação do hacker falhará.
Esta é a extração de lucros com um efeito colateral benéfico, em vez de puro altruísmo. Mas é também o mecanismo mais confiável que a criptografia desenvolveu para interceptar explorações em tempo real, porque opera na camada de ordenação de transações, em vez de depender de disjuntores em nível de protocolo ou intervenção de governança.
Por que a dependência dos construtores de MEV é desconfortável
O problema com os resgates baseados em MEV é que eles concentram a capacidade de resposta a emergências num pipeline altamente intermediado.
Sobre EthereumMEV-Boost domina a produção de blocos. O cenário de revezamento de Rated mostra cerca de 93,5% dos bloqueios recentes roteado via MEV-Boost, em comparação com cerca de 6% usando a produção de blocos vanilla.
Dentro do MEV-Boost, a participação de mercado do Relay está ainda mais concentrada: o Ultra Sound Money é responsável por cerca de 29,84% do tráfego de retransmissão e o Titan é responsável por cerca de 24,24%, o que significa que os dois maiores relés juntos lidam com mais de 54% da produção de blocos.
Se a maioria dos blocos flui através do MEV-Boost e a maior parte do tráfego do MEV-Boost flui através de dois relés, a camada de resgate é estruturalmente dependente de um pequeno conjunto de intermediários. Isso cria rapidamente problemas de governação.
Se um construtor acabar detendo os fundos resgatados, quem autoriza a custódia? Quem define a recompensa? O que impede extorsão ou pedidos de resgate? E se o construtor for offshore, anônimo ou operar em uma jurisdição com fiscalização fraca?
O caso Makina ilustra o problema. Os fundos estão sob custódia do construtor, mas não há SLA público, recompensa predefinida ou mecanismo claro para devolver os fundos ao Makina ou aos seus usuários.
O construtor poderia devolver os fundos voluntariamente, negociar uma recompensa, exigir uma taxa mais elevada do que as normas da indústria ou recusar-se a devolver os fundos.
O roteamento privado piora o problema.
Um artigo acadêmico de 2025 intitulado “Imprensado e Silencioso” documentou o roteamento privado generalizado de transações e descobriu que muitas vítimas migram para canais privados depois de serem imprensado por bots MEV.
No entanto, o roteamento privado não elimina o MEV, apenas o transfere de mempools públicos para canais privados de fluxo de pedidos controlados por construtores e retransmissores.
Para os protocolos, isso significa que os resgates de mempools públicos se tornam menos confiáveis porque as transações de exploração são cada vez mais roteadas através de canais privados acessíveis apenas a um subconjunto de construtores.
Uma tentativa de civilizar o caos
Safe Harbor é uma estrutura desenvolvida pela SEAL que procura substituir o modelo “construtor MEV como custodiante acidental” com respondentes autorizados, SLAs explícitos e incentivos limitados.
SEAL descreve o Safe Harbor como uma estrutura legal e técnica que permite que os protocolos pré-autorizem os chapéus brancos para intervir durante explorações ativas.
A regra operacional básica é que os fundos resgatados devem ser enviados para endereços oficiais de recuperação no prazo de 72 horas, com recompensas pré-definidas e executáveis.
SEAL diz que Safe Harbor foi motivado pelo hack Nomad, onde os chapéus brancos estavam dispostos a ajudar, mas limitados pela ambiguidade legal sobre se a devolução de fundos poderia ser processada como acesso não autorizado ao computador.
O Safe Harbor elimina essa ambiguidade, dando aos protocolos uma forma de pré-autorizar a intervenção e definir termos claros. SEAL afirma que o Safe Harbor já está protegendo mais de US$ 16 bilhões nos principais protocolos, incluindo UniswapPendle, PancakeSwap, Balanceador e zkSync.
Immunefi, a plataforma de recompensas de bugs, operacionalizou o Safe Harbor com termos mais rígidos.
Imunefi descreve Safe Harbor como uma estrutura desenvolvida pelo SEAL que redireciona fundos para um cofre controlado por protocolo na plataforma da Immunefi. Na página do programa Safe Harbor da Immunefi, os termos afirmam: “Você tem 6 horas para transferir fundos de volta”.
O não cumprimento da janela de seis horas é uma violação material. Isso é quatro vezes mais rápido do que o requisito básico de 72 horas do SEAL.
O Safe Harbor não elimina a dependência da infraestrutura MEV. Em vez disso, apenas tenta formalizá-lo.
Se um construtor executar uma exploração e o protocolo adotar o Safe Harbor, espera-se que o construtor reconheça a intervenção como autorizada e encaminhe os fundos para o endereço de recuperação designado pelo protocolo dentro do SLA.
Mas isso pressupõe que os construtores monitorem os registros do Safe Harbor, respeitem os termos e priorizem a conformidade em vez do lucro.
Faixa de cenário
A taxa de recuperação esperada do usuário em uma exploração pode ser modelada como: a recuperação esperada é igual à probabilidade de intervenção, multiplicada por um menos a porcentagem de recompensa, multiplicada por um menos a porcentagem de falha ou vazamento.
O Safe Harbor visa aumentar a probabilidade de intervenção, reduzindo a ambiguidade jurídica e limitando antecipadamente a percentagem de recompensas.
No caso base, a adoção do Safe Harbor aumentará nos próximos 12 meses. Mais protocolos estão adicionando termos de Safe Harbor às suas estruturas de governança, e mais white hats estão se registrando como respondentes autorizados.
A probabilidade de intervenção aumenta porque os respondentes têm clareza jurídica e termos de recompensa fixos. As taxas de recuperação melhoram, especialmente para protocolos que adotam SLAs mais rígidos, como a janela de seis horas da Immunefi.
No caso dos touros, a camada de resgate se profissionaliza. Os protocolos criam endereços de cofre rígidos, compactam SLAs para horas de um dígito e pré-negociam cronogramas de recompensas com equipes conhecidas de chapéu branco.
Os construtores integram os registros Safe Harbor em seus algoritmos de ordenação de transações, encaminhando automaticamente os fundos resgatados para endereços designados sem intervenção manual.
No caso da baixa, a dependência do construtor aumenta. O fluxo de ordens privadas e a concentração de retransmissão tornam os resgates menos transparentes e mais oligopolistas. Os protocolos que não adotaram o Safe Harbor acabam sendo negociados com os construtores após o fato, sem alavancagem ou SLA claros.
A governação torna-se dependente de intermediários que detêm fundos e definem os termos unilateralmente.
| Regime | Quem pode intervir | Onde os fundos chegam | SLA | Termos de recompensa | Responsabilidade | Modo de falha |
|---|---|---|---|---|---|---|
| Resgate ad hoc de MEV (sem Safe Harbor) | Qualquer pesquisador/construtor/ator de retransmissão de MEV que veja a exploração e possa ganhar o pedido | Muitas vezes acaba em custódia controlada pelo construtor/pesquisador (ou outro endereço de terceiros) | Nenhum | Negociado / pouco claro (pode se transformar em uma dinâmica ad hoc de “pague-me”) | Opaco (sem pré-autorização, sem obrigações formais) | Risco de resgate/extorsãorecusa em devolver fundos, limbo prolongado, questões de aplicação jurisdicional |
| Porto Seguro (linha de base SEAL) | Whitehats pré-autorizados (explicitamente autorizado pelo protocolo) durante explorações ativas | Endereço de recuperação designado por protocolo (destino oficial de recuperação) | 72 horas | Predefinido/aplicável (definido antecipadamente pelo protocolo) | Baseado em regras (autorização de escopo limitado + termos predefinidos) | Violação de termos se os fundos não forem devolvidos dentro do prazo; caminho de escalada mais claro versus negociação ad hoc |
| Porto Seguro (programa Immunefi) | Respondentes pré-autorizados sob o fluxo Safe Harbor da Immunefi (derivado do SEAL) | Cofre controlado por protocolo no Immunefi (fluxo de custódia estruturado) | 6 horas | Predefinido estrutura de recompensa/recompensa (definida pelo projeto dentro do programa) | Mais formalizado (termos da plataforma + conformidade com limite de tempo) | Violação material se não for devolvido em até 6h; SLA mais rígido reduz o limbo, mas aumenta a pressão de execução |
O que assistir
As métricas que importam são a cadência de adoção, os SLAs operacionais e a pressão de centralização.
Cadência de adoção significa rastrear quantos protocolos adicionam propostas de governança do Safe Harbor e se registram na lista de adotantes do SEAL.
SLAs operacionais significam observar se o mercado comprime as janelas de resposta: a linha de base de 72 horas do SEAL versus o programa de seis horas da Immunefi sinaliza que SLAs mais rígidos estão se tornando diferenciais competitivos.
A pressão de centralização significa monitorizar se a quota de mercado permanece concentrada.
Os bots MEV estão se tornando a camada de resposta a emergências da criptografia, quer o ecossistema goste ou não. Safe Harbor é a tentativa de transformar isso num sistema previsível e responsável.
Mas também é uma aposta que os construtores respeitarão os termos pré-autorizados, que os protocolos adotarão a estrutura com rapidez suficiente e que a concentração no pipeline de construção de blocos não prejudicará a justiça ou a acessibilidade dos resgates.
O caso Makina mostra o que acontece quando essas suposições não se sustentam: os fundos ficam sob custódia dos construtores, sem um caminho claro de volta aos usuários.
Mencionado neste artigo
