A plataforma de análise e gestão de finanças descentralizadas Step Finance confirmou no final de janeiro que foi vítima de um ataque que custou dezenas de milhões em ativos digitais. De acordo com a empresa, os atacantes acederam a dispositivos pertencentes à equipe executiva e, desde então, comprometeram várias carteiras do tesouro, uma tática que, embora nem sempre se detalha publicamente, se encaixa com vetores de ataque vistos em outros incidentes do ecossistema cripto.
Step detectou o fosso em 31 de janeiro e, apenas confirmou a intrusão, activou pesquisadores de cibersegurança e notificou as autoridades. Em um primeiro balanço, assinaturas externas como o CertiK estimaram que os fundos sutraídos equivaliam 261.854 SOL — decifrando que nesse momento se valorou em cerca de 28,9 milhões de dólares —, embora a própria Step tenha aumentado posteriormente essa estimativa até colocá-la em cerca de 40 milhões de dólares. A comunicação inicial de Step e os seguimentos de CertiK podem ser consultados em suas publicações públicas: comunicado de Step e Aviso do CertiK. Mais tarde, Step atualizou seu cálculo aqui: Actualização do Step.
Parte do dinheiro foi recuperado graças à colaboração com parceiros e protecções activas na infraestrutura da plataforma. Step indicou que cerca de 3,7 milhões de dólares em activos ligados à Remora e cerca de 1 milhão em outras posições puderam ser recuperados através de ações coordenadas, aproveitando mecanismos de traçado e bloqueio em cadeia. Também apontou que o Remora Markets — um produto que pertence a Step — ficou isolado do incidente e que os rTokens mantêm-se apoiados 1:1.
O que significa isso para os usuários. Step pediu expressamente que os usuários não interajam com o token nativo STEP enquanto continua a pesquisa. A plataforma também anunciou que tomará uma “snapshot” do estado anterior ao exploit para preparar uma solução para os possuidores de STEP. Na prática, isso quer dizer que Step pretende preservar uma fotografia imutável do estado de contas antes do ataque para avaliar compensações ou medidas restaurativas, embora os detalhes finais ainda não tenham sido concretizados.
A empresa não divulgou todos os detalhes técnicos do ataque nem identificou publicamente os responsáveis, e essa opacidade tem alimentado especulações sobre a possibilidade de um “rug pull” ou de uma falha interna. É importante sublinhar que, até agora, essas suspeitas não foram testadas e que as investigações forenses neste tipo de incidentes exigem tempo e acesso a informações sensíveis que as empresas nem sempre podem ou devem fazer pública imediatamente.
Contextualizando o golpe: os 40 milhões de Step são significativos, mas fazem parte de um panorama maior de perdas por crimes cibernéticos em cripto. CertiK, que monitora incidentes de segurança em blockchain, relatou perdas por quase 398 milhões de dólares apenas em janeiro – com uma recuperação parcial de cerca de 4,366 milhões – e lembrou que 2025 acumulou 147 hacks confirmados por cerca de 2,87 mil milhões de perdas, enquanto 2022 continua sendo o ano com o valor mais elevado registado até agora. Estes dados estão disponíveis nos canais públicos do CertiK: Resumo das perdas e em sua página corporativa certik.com.
Do ponto de vista técnico e de segurança, o incidente de Step volta a evidenciar várias lições conhecidas, mas muitas vezes esquecidas no setor cripto. O ecossistema blockchain é público e tratável, o que facilita o acompanhamento dos fluxos de fundos, mas também depende em grande parte da gestão segura de chaves privadas e de práticas sólidas de governação em equipamentos que controlam tesouraria e contratos inteligentes. Quando se comprometem dispositivos pessoais ou chaves administrativas, os atacantes podem mover ativos rapidamente e dispersar-os através de múltiplos endereços em busca de saltos para exchanges ou misturadores.
Para os utilizadores e projectos, devem ser reforçadas medidas básicas, mas eficazes: segregar fundos operacionais de tesoureiros em carteiras com controlos de assinatura múltipla, utilizar armazenamento a frio para reservas significativas, aplicar políticas rigorosas de gestão de credenciais e acesso e recorrer a auditorias independentes e a prestadores de custódia sempre que adequado. No caso de Step, a coordenação com especialistas em blockchain forense e com parceiros do ecossistema permitiu recuperar parte dos fundos; no entanto, a recuperação completa em incidents deste tipo não é garantida e depende frequentemente da rapidez da resposta e da cooperação de exchanges e outros intermediários.
Se você usa a plataforma ou possui tokens relacionados, uma recomendação prudente é evitar interações com contratos ou mercados associados até que Step publique um relatório forense mais detalhado e medidas claras de mitigação. Também é boa prática revogar aprobações desnecessárias a partir de carteiras pessoais, verificar atividade incomum em seus endereços com exploradores de blocos e, se você mantém quantidades relevantes, considerar migrar para soluções de guarda com melhores controles de segurança.
Step mantém seu site e seus canais oficiais para atualizações; a página principal da plataforma está disponível aqui: step.finance. Enquanto isso, os sinais do incidente e sua renda na onda de ataques contra projetos cripto lembram que, apesar das melhorias em ferramentas e auditorias, a segurança operacional e a higiene digital continuam sendo o elo mais fraco em muitos casos.
Num sector onde a transparência e a confiança são quase tudo, a forma como Step documente a intrusão e agir sobre as queixas dos usuários será crucial para recuperar credibilidade. Os olhos do ecossistema estão colocados na investigação e nas medidas correctivas; até então, a recomendação é informar-se por canais oficiais e extremar as precauções em qualquer interação com ativos relacionados.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...