Junho foi um mês intenso para as atualizações de tecnologia blockchain, com desenvolvedores corrigindo falhas de privacidade, remarcando grandes upgrades, impulsionando propostas de resistência quântica e correndo para reforçar a segurança contra uma onda crescente de ataques à cadeia de suprimentos. Do Bitcoin Core ao Ethereum, do Zcash ao Polygon, o ritmo de mudanças em nível de protocolo está acelerando — e algumas das decisões tomadas agora definirão como essas redes vão se manter ao longo da próxima década.
Summary
Principais destaques
- Bitcoin Core 31.1 corrige uma vulnerabilidade de privacidade no recurso -privatebroadcast da versão 31.0 que poderia expor o endereço IP do iniciador de uma transação.
- O upgrade Glamsterdam do Ethereum foi adiado para a segunda metade do ano; o hard fork Hegotá está previsto para o final de 2026/início de 2027.
- EIP-8182, uma proposta de transferência privada nativa, foi oficialmente proposta para inclusão no hard fork Hegotá.
- O CEO da Consensys, Joseph Lubin, espera que o Ethereum se torne um protocolo totalmente baseado em provas de conhecimento zero em 3 a 5 anos.
- Polygon zkEVM Mainnet Beta encerrará suas operações em 1º de julho de 2026 — os usuários devem retirar os ativos antes do prazo.
- A Equipe de Segurança da SlowMist confirmou variantes de malware ativas em 23 pacotes npm, com 408 repositórios do GitHub contendo credenciais roubadas.
- O chip quântico Majorana 2 da Microsoft é supostamente 1.000 vezes mais confiável que seu antecessor, com tempos médios de vida de qubits de 20 segundos.
Bitcoin Core corrige vulnerabilidade de privacidade na v31.1
Uma falha escondida dentro do recurso -privatebroadcast recém-introduzido no Bitcoin Core veio a público este mês — e as implicações para usuários preocupados com privacidade são mais sutis do que a maioria das divulgações de bugs. A versão 31.0 continha uma vulnerabilidade que, sob condições específicas de rede, poderia expor o endereço IP do iniciador de uma transação para o nó receptor.
Como o vazamento de IP realmente acontece
A vulnerabilidade aparece quando o broadcast privado seleciona um nó IPv4 ou IPv6 que suporta o transporte BIP324 v2. Se o handshake v2 falhar, o Bitcoin Core recai para uma nova tentativa em v1 — mas essa reconexão ignora completamente o proxy Tor, estabelecendo uma conexão IPv4 ou IPv6 direta com o par. O resultado: um recurso projetado para aumentar a privacidade acaba fazendo o oposto em certas condições de fallback.
O escopo afetado é específico. Nós executando Bitcoin Core 31.0 com -privatebroadcast habilitado, transmitindo transações via o RPC sendrawtransaction e capazes de estabelecer conexões de saída IPv4/IPv6 diretas estão em risco. Conexões de carteira via RPC, onion e I2P não são afetadas.
Antes de atualizar para a versão 31.1, o Bitcoin Core aconselha os usuários relevantes a desativar o -privatebroadcast, desativar o transporte v2 ou rotear o tráfego de saída IPv4/IPv6 através do Tor. O release candidate 31.1rc1 já está disponível para testes no site oficial do Bitcoin Core e inclui correções nos módulos de validação, rede P2P, migração de carteira, MuSig, sistema de build, testes e CI.
Separadamente, o desenvolvedor rkrux abriu uma discussão sobre remover o sinalizador explícito de Replace-by-Fee (RBF) da carteira do Bitcoin Core, argumentando que os sinais do BIP 125 se tornaram redundantes agora que o full-RBF é política padrão e podem deixar impressões digitais desnecessárias on-chain. O membro da comunidade Murch contestou, observando que interromper os sinais de substituibilidade não é uma simples remoção de impressões digitais — cada remetente ainda precisa escolher um número de sequência para cada input, com cerca de 75% das transações já usando números de sequência específicos, principalmente MAX-2.
Ethereum adia Glamsterdam e avança propostas de privacidade
O pipeline de desenvolvimento do Ethereum está avançando em múltiplas frentes, mas a notícia mais imediata é uma mudança de cronograma: o upgrade Glamsterdam — que mira escalabilidade máxima em L1 e justiça em MEV — foi empurrado para a segunda metade do ano. As iterações Devnet-5 e Devnet-6 ainda estão em andamento, com contramedidas contra novos EIPs em desenvolvimento ativo. O desenvolvedor core Terence confirmou que o Glamsterdam devnet-6 foi lançado, marcando um progresso significativo rumo ao deployment em testnet.
Proposta de registro de chaves públicas pós-quânticas
Os pesquisadores do Ethereum Thomas Coratger e Tom Wambsgans publicaram uma estrutura para estabelecer um registro de chaves públicas pós-quânticas para validadores — um caminho de migração em fases, saindo de assinaturas BLS em direção a esquemas de assinatura seguros contra computadores quânticos. A abordagem prevê primeiro um fork de registro, permitindo que validadores pré-registrem chaves públicas pós-quânticas, seguido de vários forks subsequentes antes que o mecanismo de assinatura mude oficialmente.
O principal candidato é o esquema de assinatura baseado em hash XMSS, que oferece uma chave pública compacta de 52 bytes — embora assinaturas individuais tenham cerca de 3.112 bytes. Lidar com esse overhead exigirá leanVM e agregação de SNARKs pós-quânticos. Este não é um upgrade de curto prazo, mas o fato de pesquisadores do Ethereum já estarem definindo a arquitetura de migração mostra o quão seriamente a rede está tratando a ameaça quântica.
Proposta EIP-8182 de transferência privada nativa para Hegotá
A EIP-8182, desenvolvida por Tom Lehman, foi oficialmente Proposta para Inclusão no hard fork Hegotá — o upgrade voltado para resistência à censura, aprimoramento de privacidade e enxugamento de nós, atualmente previsto para a janela de final de 2026/início de 2027.
A proposta busca trazer privacidade de forma nativa para a camada base do Ethereum sem taxas adicionais, governança por token ou coordenação multi-sig. Ela usa contratos de sistema de endereço fixo e precompilados de verificação ZK para criar um pool de anonimato compartilhado em nível de protocolo, acessível a todas as carteiras e aplicações. Esse pool compartilhado é importante: apps de privacidade fragmentados atualmente dividem liquidez e conjuntos de anonimato entre implementações separadas, enfraquecendo as garantias práticas de privacidade para todos. Ao incorporar privacidade no L1, a EIP-8182 quebraria essa fragmentação sem exigir mudanças em nível de aplicação.
A proposta entrou em competição por um espaço na agenda de hard forks dos Desenvolvedores Core — um processo que envolve debates técnicos e comunitários significativos antes de qualquer coisa ser finalizada.
CEO da Consensys e o futuro de conhecimento zero do Ethereum
O CEO da Consensys, Joseph Lubin, ofereceu uma visão de mais longo prazo, afirmando que o Ethereum pode se tornar um protocolo totalmente baseado em provas de conhecimento zero em 3 a 5 anos. Lubin apontou para redes de Camada 2 que já alcançam geração de provas ZK em tempo real como evidência de que a tecnologia está amadurecendo rápido o suficiente para chegar ao L1. Ele vislumbra um futuro em que múltiplos provers formalmente verificados suportem o Ethereum na camada base, eventualmente permitindo um ambiente de execução atômico único e sem pontes, que unifique a liquidez fragmentada.
Lubin também abordou a futura estrutura da Ethereum Foundation, afirmando que não haverá uma “segunda fundação” — em vez disso, pelo menos três grupos serão desmembrados da fundação existente, focando respectivamente em trabalho de protocolo core, usabilidade e escalabilidade, e relacionamento institucional.
Avanços em Layer 2 do Ethereum e desligamento do Polygon zkEVM
O ecossistema de Camada 2 do Ethereum viu tanto novos lançamentos quanto prazos rígidos este mês. O desenvolvimento mais urgente para usuários atuais é o encerramento das operações do Polygon zkEVM Mainnet Beta em 1º de julho de 2026 — restando cerca de duas semanas para os usuários agirem.
Framework de privacidade STRK20 da Starknet
A Starknet lançou o STRK20, um framework de privacidade baseado em provas de conhecimento zero que permite que qualquer ativo ERC20 dentro da rede suporte saldos privados e transferências confidenciais. Diferente de mixers de moedas tradicionais, o STRK20 incorpora funções de privacidade diretamente no fluxo do ativo em vez de rotear transações por uma camada de mixagem separada. O framework inclui um mecanismo de Viewing Keys, permitindo que usuários revelem seletivamente dados de transação para fins de conformidade. O primeiro ativo a adotá-lo é o strkBTC.
O framework pode ser aplicado a transferências, negociação, empréstimos, staking e pagamentos — um escopo amplo que sugere que a Starknet está posicionando o STRK20 como infraestrutura, e não apenas um recurso.
Encerramento do Polygon zkEVM Mainnet Beta
O zkEVM Mainnet Beta do Polygon será oficialmente desligado em 1º de julho de 2026. Ativos mantidos em carteiras que não concluírem transferências cross-chain serão automaticamente migrados para a mainnet do Ethereum e poderão ser reivindicados por meio de uma interface dedicada. No entanto, ativos bloqueados em protocolos DeFi não podem ser migrados automaticamente — esses usuários devem retirar manualmente posições de LP e ativos antes do prazo ou correm o risco de perder permanentemente o acesso.
A rede L2 Base, por sua vez, implantou seu upgrade Beryl na testnet Base Sepolia, com ativação em mainnet planejada para 25 de junho. Beryl introduz o padrão de token B20 para emissão de stablecoins e outros ativos de forma nativa dentro do software de nó da Base, encurta a janela de saque da Base para o Ethereum de 7 dias para 5 dias e traz o Reth V2 para reduzir o espaço em disco dos nós.
Upgrade Ironwood do Zcash e melhorias de segurança de rede
O Zcash está preparando um upgrade de rede significativo voltado a resolver uma das vulnerabilidades mais sérias que surgiram em uma blockchain focada em privacidade neste ano.
Ironwood mira o pool de privacidade Orchard
O upgrade Ironwood do Zcash está planejado para ativação em julho, projetado para corrigir vulnerabilidades no pool de privacidade Orchard que anteriormente ameaçavam as garantias de oferta fixa da rede. A Zcash Foundation já havia lançado o Zebra 4.5.3 e 5.0.0 como respostas de emergência — o Zebra 4.5.3 desativou temporariamente ações Orchard na mainnet via um soft fork de emergência no bloco de altura 3.363.426, enquanto o Zebra 5.0.0 ativou o hard fork NU6.2 no bloco de altura 3.364.600, reativando o Orchard com um circuito corrigido. A fundação confirmou que a vulnerabilidade foi descoberta antes de qualquer exploração conhecida e que não houve criação não autorizada de valor.
O Ironwood vai além. Ele introduzirá um novo pool de privacidade corrigido e aposentará gradualmente o antigo. Uma vez concluído, usuários e nós poderão agregar saldos de ambos os pools para verificar de forma independente que o total de ZEC em circulação não excede o hard cap de 21 milhões de moedas — restaurando a confiança descentralizada no mecanismo de oferta do Zcash.
O desenvolvedor core do Zcash, Sean Bowe, confirmou que pelo menos três grandes empresas de auditoria estão revisando o circuito Orchard, múltiplas ferramentas de auditoria com IA estão analisando o código, e o trabalho de verificação formal está progredindo. O Valar Group lançou uma testnet e começou a implementar mudanças do lado das carteiras. O progresso, segundo Bowe, está correndo bem no momento.
Alertas de segurança e avanços em computação quântica
Dois desenvolvimentos deste mês se situam em extremos opostos da linha do tempo de ameaças: um é um ataque ativo acontecendo agora no ecossistema npm, o outro é um marco em hardware quântico que ainda é teórico para a segurança de blockchain — mas está avançando mais rápido do que muitos esperavam.
SlowMist alerta sobre malware no npm explorando credenciais de desenvolvedores roubadas
A Equipe de Segurança da SlowMist emitiu um alerta sobre novas variantes de malware — identificadas como Shai-Hulud, Miasma e Hades — ligadas à conta de desenvolvedor roubada “czirker” e ativas no ecossistema npm. O vetor de ataque é preciso: código malicioso é acionado durante o npm install por meio de um arquivo binding.gyp pré-configurado, tornando-o fácil de passar despercebido em auditorias padrão de dependências.
Os números confirmados são notáveis. Foram identificados 23 pacotes afetados, com um deles — leo-logger — alcançando 3.140 downloads semanais. Além disso, foram descobertos 408 repositórios do GitHub contendo credenciais roubadas. A atividade maliciosa abrange roubo de tokens do GitHub e npm, credenciais de nuvem na AWS, GCP e Azure, dados de ambiente local e abuso de pipelines do GitHub Actions.
A SlowMist recomenda que equipes de segurança inspecionem imediatamente lockfiles e registros de pacotes, removam pacotes afetados, girem todas as chaves críticas e imponham autenticação de dois fatores. O padrão de ataque ressalta um risco persistente em ecossistemas de código aberto: o roubo de credenciais em nível de conta de desenvolvedor pode contaminar centenas de repositórios downstream antes da detecção.
Chip quântico Majorana 2 da Microsoft é revelado
Em sua conferência anual Build, a Microsoft revelou o Majorana 2, seu chip quântico topológico de segunda geração. A empresa afirma que o chip é 1.000 vezes mais confiável que seu antecessor, com um tempo médio de vida de qubit de 20 segundos — e alguns qubits durando até 1 minuto. A Microsoft prevê se aproximar da computação quântica em escala até 2029, com ferramentas de Agentes de IA supostamente ajudando a acelerar triagem de materiais, automação de medições e otimização de manufatura.
O anúncio renovou discussões externas sobre as implicações de longo prazo da computação quântica para a segurança de assinaturas digitais do Bitcoin. Essa conversa merece ser levada a sério, mas o contexto importa: o abismo entre o hardware quântico atual e o limiar computacional necessário para ameaçar a criptografia de curva elíptica do Bitcoin ainda é muito grande. O Majorana 2 é um passo significativo na confiabilidade de qubits, não uma ameaça iminente para redes blockchain ativas.
O que ele representa é um motivo crível para a pesquisa de migração pós-quântica do Ethereum acelerar — e para projetos como a Algorand Foundation, que publicou um roadmap de segurança pós-quântica visando uma resistência quântica mais ampla até o final de 2027, se manterem à frente da curva. A questão prática para cada grande rede blockchain não é mais se a criptografia resistente a quântica é necessária, mas quando a migração precisa estar concluída.
Perguntas frequentes
Qual problema de privacidade foi corrigido na versão 31.1 do Bitcoin Core?
O Bitcoin Core 31.1 corrigiu uma vulnerabilidade de privacidade no recurso -privatebroadcast da versão 31.0. Sob certas condições envolvendo uma falha no handshake BIP324 v2, o software voltava para uma conexão v1 que ignorava o proxy Tor, potencialmente expondo o endereço IP do iniciador da transação para o nó receptor.
Para quando o upgrade Glamsterdam do Ethereum é esperado agora?
O upgrade Glamsterdam do Ethereum foi adiado para a segunda metade do ano. O desenvolvimento continua por meio das iterações Devnet-5 e Devnet-6, com o hard fork Hegotá separado mirando uma janela de final de 2026/início de 2027.
O que é a EIP-8182 e qual sua importância?
A EIP-8182 é uma proposta de transferência privada nativa para o Ethereum desenvolvida por Tom Lehman. Ela introduziria um mecanismo de transferência privada não obrigatório e sem taxas de protocolo diretamente na camada L1 do Ethereum, usando contratos de sistema de endereço fixo e precompilados de verificação ZK. Ela foi oficialmente Proposta para Inclusão no hard fork Hegotá e é importante porque mira privacidade em nível de protocolo em vez de depender de ferramentas de privacidade fragmentadas na camada de aplicação.
Que ameaças o alerta de malware da SlowMist destaca?
A SlowMist identificou variantes de malware (Shai-Hulud, Miasma, Hades) explorando a conta de desenvolvedor npm roubada “czirker” para infectar pacotes durante a instalação. O ataque rouba tokens do GitHub e npm, credenciais de nuvem da AWS, GCP e Azure, e dados de ambiente local, além de abusar do GitHub Actions. Foram confirmados 23 pacotes e 408 repositórios do GitHub afetados.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”Qual problema de privacidade foi corrigido na versão 31.1 do Bitcoin Core?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”O Bitcoin Core 31.1 corrigiu uma vulnerabilidade de privacidade no recurso -privatebroadcast da versão 31.0. Sob certas condições envolvendo uma falha no handshake BIP324 v2, o software voltava para uma conexão v1 que ignorava o proxy Tor, potencialmente expondo o endereço IP do iniciador da transação para o nó receptor.”}},{“@type”:”Question”,”name”:”Para quando o upgrade Glamsterdam do Ethereum é esperado agora?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”O upgrade Glamsterdam do Ethereum foi adiado para a segunda metade do ano. O desenvolvimento continua por meio das iterações Devnet-5 e Devnet-6, com o hard fork Hegotá separado mirando uma janela de final de 2026/início de 2027.”}},{“@type”:”Question”,”name”:”O que é a EIP-8182 e qual sua importância?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”A EIP-8182 é uma proposta de transferência privada nativa para o Ethereum desenvolvida por Tom Lehman. Ela introduziria um mecanismo de transferência privada não obrigatório e sem taxas de protocolo diretamente na camada L1 do Ethereum, usando contratos de sistema de endereço fixo e precompilados de verificação ZK. Ela foi oficialmente Proposta para Inclusão no hard fork Hegotá e é importante porque mira privacidade em nível de protocolo em vez de depender de ferramentas de privacidade fragmentadas na camada de aplicação.”}},{“@type”:”Question”,”name”:”Que ameaças o alerta de malware da SlowMist destaca?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”A SlowMist identificou variantes de malware (Shai-Hulud, Miasma, Hades) explorando a conta de desenvolvedor npm roubada “czirker” para infectar pacotes durante a instalação. O ataque rouba tokens do GitHub e npm, credenciais de nuvem da AWS, GCP e Azure, e dados de ambiente local, além de abusar do GitHub Actions. Foram confirmados 23 pacotes e 408 repositórios do GitHub afetados.”}}]}
Artigo produzido com a assistência de inteligência artificial e revisado pela equipe editorial.
