Criptomoedas

Novo bug no React pode drenar todos os seus tokens e afeta “milhares” de sites

Vulnerabilidade em React abre brecha para dreno de tokens via sequestro de assinaturas e permissões, com impacto relatado em “milhares” de sites. Falha evidencia o papel crítico do front-end na segurança web3 e exige ação coordenada de desenvolvedores e usuários.

Por BlockTrends 16 dez 2025

Novo bug no React pode drenar todos os seus tokens e afeta “milhares” de sites

Vulnerabilidade em aplicativos React amplia a superfície de ataque para web3 e fintechs; pesquisadores alertam para risco de sequestro de assinaturas e autorizações on-chain

Uma nova vulnerabilidade em aplicativos construídos com React chamou atenção de pesquisadores de segurança ao permitir o dreno de tokens de usuários e, segundo os relatos iniciais, já impactar “milhares” de sites. O alerta preocupa porque React é a base de grande parte da web moderna, incluindo interfaces de exchanges, carteiras e dapps que interagem diretamente com contratos inteligentes. Em cenários assim, qualquer brecha no front-end é suficiente para sequestrar fluxos de assinatura e transformar uma simples confirmação em um movimento que esvazia uma carteira. Ainda que os detalhes completos não tenham sido tornados públicos, o vetor descrito envolve manipulação de eventos e do DOM em pontos críticos do ciclo de vida do aplicativo.

Como os drenos de tokens acontecem

Ao contrário do roubo direto de chaves privadas, a estratégia mais comum nos ataques modernos explora permissões e assinaturas legítimas concedidas pelo próprio usuário. Autorização de gasto (approve) em tokens ERC-20, mensagens EIP-712 e pedidos de assinatura de transação podem ser camuflados em interfaces comprometidas. O resultado é um clique que parece inofensivo, mas que libera acesso ilimitado a um contrato malicioso ou desloca ativos para endereços controlados por atacantes. O uso disseminado de “wallet drainers” como serviço acelera esse processo, profissionalizando kits que convertem um XSS ou um handler interceptado em perdas imediatas.

Por que o React entra no centro do problema

Aplicativos em React dependem de uma arquitetura de página única, com estado global, hooks e renderização reativa, o que amplia o impacto de qualquer injeção não sanitizada de conteúdo. Uma falha na cadeia de dependências, um script de analytics comprometido ou a exploração de um ciclo de montagem e desmontagem de componentes pode alterar silenciosamente o que o usuário vê e assina. Nesse contexto, a fronteira entre “UI” e “assinatura” é tênue: a carteira apenas confirma o que o site pede, e um pequeno desvio no front-end basta para trocar o destinatário, elevar limites de gasto ou introduzir chamadas adicionais. Em projetos que integram provedores injetados no navegador, o risco cresce, pois o atacante ajusta a sequência de prompts para conduzir a vítima.

Quem está mais exposto e o efeito dominó

Dapps de negociação, pontes e marketplaces que pedem aprovações amplas são alvos prioritários, mas o impacto não se limita a cripto nativa. Sites de fintechs com conectores web3, páginas de suporte comprometidas e clones de interfaces legítimas ampliam a superfície de ataque. O fato de a falha atingir “milhares” de sites sugere um viés de cadeia de suprimentos, em que uma biblioteca ou padrão de uso recorrente é o gatilho. Por outro lado, o episódio reforça um ponto recorrente: segurança de front-end em cripto é tão crítica quanto auditoria de contratos inteligentes.

Mitigações imediatas para desenvolvedores

Do lado técnico, a resposta passa por atualizar dependências afetadas, endurecer políticas de conteúdo (CSP), adotar SRI em scripts de terceiros e eliminar usos arriscados como dangerouslySetInnerHTML sem sanitização robusta. Em fluxos transacionais, reduzir aprovações ilimitadas, habilitar simulação e pré-visualização clara de transações, além de validar domínios e separação de escopo em EIP-712, mitiga mudanças furtivas. Monitoramento de integridade do build, verificação de hashes e pipelines reprodutíveis ajudam a conter ataques em cadeia. Auditorias específicas de front-end e testes de invasão focados em eventos e hooks completam o plano de contenção.

Boas práticas para usuários e o que observar

Para usuários, dividir fundos entre carteiras, usar hardware wallet em transações relevantes, revisar e revogar autorizações antigas e desconfiar de múltiplos prompts inesperados reduz o risco. Manter extensões e navegadores atualizados e evitar conexões automáticas com sites desconhecidos também é essencial. Até que as correções sejam disseminadas, prudência com aprovações ilimitadas e atenção redobrada a URLs e certificados são medidas simples de alto impacto. Em um mercado que migrou fraudes do back-end para a camada de interface, esse caso com React reforça que a segurança começa no clique que antecede a assinatura.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.