Copy Fail, supply chain e $464M perdidos. O mês do Pizza Day chegou salgado.
A newsletter que seu git pull merece.
A segurança Web3 está ficando adulta. E o timing não poderia ser melhor.
Três acontecimentos entre março e abril de 2026 se conectam para contar uma história maior: a infraestrutura de segurança do ecossistema está amadurecendo de forma coordenada, enquanto os vetores de ataque ficam mais criativos e os agentes maliciosos mais organizados.
Começamos pelos números. O relatório Q1 2026 da Hacken registrou $464,5 milhões perdidos em hacks no primeiro trimestre. O dado mais revelador: 81% desse total vem de um único golpe de phishing em janeiro, uma carteira de hardware comprometida por $282 milhões. Phishing segue como o vetor dominante, superando exploits de contratos inteligentes combinados. O problema central não é a tecnologia dos contratos, é o vetor humano ao redor dela.
A resposta estrutural veio na sequência. A Ethereum Foundation anunciou um programa de subsídio de $1 milhão para auditorias de segurança, em parceria com provedores de auditoria, para tornar revisões profissionais mais acessíveis a projetos menores do ecossistema. Auditorias de qualidade ainda são uma barreira cara. O programa ataca esse ponto de atrito de forma direta.
No plano de padronização, a OWASP publicou o Smart Contract Top 10 2026, a atualização da lista de vulnerabilidades mais críticas em contratos inteligentes. Para qualquer dev trabalhando com Solidity ou linguagens EVM-compatíveis, esse documento é referência, tanto para desenvolvimento quanto para revisão de código.
Três movimentos simultâneos: mensuração de perdas, incentivo financeiro para mitigação e padronização de práticas. O mercado está construindo infraestrutura de segurança de forma coordenada. Mas como você vai ver nas próximas notícias, os atacantes também evoluíram.
Copy Fail: o zero-day que dá root em todo Linux desde 2017
Em 29 de abril de 2026, a empresa de segurança Theori divulgou publicamente o CVE-2026-31431, apelidado de Copy Fail. A falha fica em uma lógica do módulo criptográfico authencesn do kernel Linux, usado pelo IPsec para suporte a Extended Sequence Numbers. O resultado prático: qualquer usuário local sem privilégios consegue escrever quatro bytes no page cache do kernel e obter root shell, em todas as distribuições Linux lançadas desde 2017. O exploit é um script Python de 732 bytes usando apenas a biblioteca padrão. Sem race conditions, sem offsets de versão, sem compilação.
Dois aspectos aumentam o impacto para quem roda infra Web3. O primeiro: a falha funciona como escape de container no Kubernetes, porque o page cache é compartilhado entre todos os processos no host, incluindo containers. Um container comprometido pode atingir o host e todos os outros containers rodando em paralelo.
O segundo: a vulnerabilidade foi descoberta com análise assistida por AI, pelo pesquisador Taeyang Lee da Theori usando a ferramenta Xint Code. O exploit foi produzido em cerca de uma hora de scan. Debian, Ubuntu, SUSE e Red Hat já têm patches disponíveis. Se você gerencia nós, validadores ou qualquer infra Linux, atualizar o kernel é a ação imediata. A ação estrutural é revisar se o modelo de isolamento atual depende apenas de namespaces de container, sem um boundary de VM ou microVM. Copy Fail mostrou que namespace não é suficiente.
Supply chain no stack do dev: quando a ferramenta de segurança vira a ameaça
O grupo TeamPCP executou o que a Cloud Security Newsletter descreve como o ataque de supply chain mais impactante desde o incidente XZ Utils. Em nove dias, o grupo comprometeu quatro ferramentas centrais do stack de DevSecOps: o Trivy (scanner de vulnerabilidades da Aqua Security), o LiteLLM (proxy de AI com cerca de 480 milhões de downloads no PyPI), o SDK Python da Telnyx e o pacote Axios do npm, com mais de 100 milhões de downloads. O objetivo era exfiltrar chaves AWS IAM, service accounts do GCP e secrets de Kubernetes de pipelines de CI/CD ao redor do mundo.
O ponto de entrada foi simples: um workflow do GitHub Actions do repositório do Trivy com credenciais mal configuradas. A partir daí, o grupo escalou o acesso em cascata por ecossistemas diferentes. Vale notar que o mesmo pacote Axios foi comprometido exatamente no dia em que o código-fonte do Claude Code vazou via npm, criando uma janela de risco dobrado para qualquer dev que atualizou o ambiente naquele dia. Se você usa qualquer dessas ferramentas em pipelines de build ou deploy de contratos, a recomendação é rotar todos os secrets dos ambientes afetados.
OPORTUNIDADES & EVENTOS
Vaga para Desenvolvedor(a) Blockchain | Capgemini | Barueri/SP (híbrido)
A Capgemini está com vaga aberta para dev Blockchain com foco em Solidity e ecossistema EVM (Polygon, Arbitrum, Optimism). O stack inclui Node.js com TypeScript, integração com Ethers.js, Web3.js e Wagmi, The Graph para indexação on-chain e Docker para ambientes containerizados. Modelo híbrido, presença em Barueri.
Vaga Product Engineer | Sherlock | Remoto (global) | $80k–$160k
A Sherlock é uma plataforma de segurança para protocolos Web3 que auditou Aave, Optimism e a Ethereum Foundation. Estão contratando um Product Engineer generalista: Python sênior com tránsito em UI (Next.js/TypeScript), LLMs no workflow diário e pelo menos um produto real em produção com dependência de qualidade de output de modelo. O papel é ligar a necessidade do cliente ao produto entregue, do front ao pipeline de prompts. Alta autonomia, time enxuto.
Evento Bitcoin Pizza Day | Founder Haus, Floripa
Sexta-feira, 22 de maio | 17h00 - 22h00 BRT
Em 22 de maio de 2010, Laszlo Hanyecz pagou 10.000 bitcoins por duas pizzas e fez a primeira transação real da história do Bitcoin. Hoje, 15 anos depois, esse dia é celebrado em mais de 400 cidades ao redor do mundo como um marco do que virou a revolução cripto. Em Florianópolis, o 6th Global Pizza Party acontece na Founder Haus, no Jurerê Internacional: pizza, comunidade e um pedaço vivo de história.
Bitcoin Pizza Day | Online e descentralizado | Worldwide
22 de maio, o dia todo
Se você não está em Floripa, provavelmente tem uma celebração perto de você. O Bitcoin Pizza Day é um dos eventos mais distribuídos do calendário cripto, com encontros organizados pela comunidade em dezenas de países. Vale checar se sua cidade tem algo rolando.
LEITURA RECOMENDADA
Caveman: “por que usar muitos tokens quando poucos tokens fazem o truque?”
O dev Julius Brussee publicou o caveman, uma skill para Claude Code e Codex que instrui o agente a responder em estilo caveman: sem artigos, sem gentilezas, sem hedge. O resultado declarado é até 75% de redução nos tokens de output sem perda de precisão técnica. O projeto viralizou no Hacker News e passou de 20 mil stars no GitHub em poucos dias. Instalação em uma linha:
npx skills add JuliusBrussee/caveman
Um aviso importante do próprio autor: a técnica comprime o output visível, não os reasoning tokens internos do modelo. O ganho real aparece mais em sessões longas e encadeadas, onde o cache de prompt entra em jogo. Para quem usa Claude Code no dia a dia, vale testar.
Nos vemos em junho. Tem uma vaga ou evento para incluir na próxima edição? Responde esse e-mail ou compartilhe na comunidade no whatsapp.
Conteúdo produzido por WEB3DEV | Comunidade brasileira de devs Web3.