Mattle.fun sofre exploit em API: 500 mil $MATTLE drenados do Key Vault antes de correção

A plataforma de trading gamificada Mattle.fun, construída sobre a blockchain Solana, confirmou recentemente um incidente de segurança que resultou na drenagem de aproximadamente 500.000 tokens $MATTLE do seu Key Vault.

Mattle Key Exploit – Incident Report

Approximately 13 hours ago, the Mattle Key feature was compromised, allowing an attacker to exploit around 500,000 $MATTLE from the Key Vault.

1. Attack Method

The attacker compromised our API layer and was able to generate unlimited Mattle… pic.twitter.com/sFSjHpg9wB

— Mattle.fun – Available on Seeker 📱 (@mattlefun) March 6, 2026

O ataque explorou uma vulnerabilidade na API Web2 da plataforma, permitindo que um invasor gerasse chaves Mattle ilimitadas, usadas para reivindicar recompensas repetidamente. O exploit ocorreu cerca de 13 horas antes da divulgação oficial do relatório pela equipe do projeto.

Apesar da gravidade do incidente, os desenvolvedores afirmaram que contratos inteligentes, staking e carteiras dos usuários não foram comprometidos, mantendo a infraestrutura on-chain intacta.

---

Como ocorreu o ataque

De acordo com o relatório divulgado pela equipe da Soluna Labs, desenvolvedora da plataforma, o invasor encontrou uma falha na camada de API Web2 utilizada para gerenciar a geração de chaves do sistema.

Essas Mattle Keys são itens utilizados dentro da plataforma para abrir recompensas no Key Vault, liberando tokens $MATTLE.

O atacante conseguiu:

1. Explorar a vulnerabilidade da API
2. Gerar chaves ilimitadas
3. Abrir recompensas repetidamente no vault
4. Retirar aproximadamente 500 mil $MATTLE

Após obter os tokens, o invasor vendeu os ativos no mercado aberto, provocando uma queda de cerca de 30% no preço do token.

---

Impacto limitado graças ao design do vault

Apesar do exploit, o impacto foi limitado pela própria arquitetura do Key Vault.

O cofre funciona com um modelo de alocação limitada, onde os fundos não permanecem armazenados em grandes quantidades permanentemente. Em vez disso, o sistema é reabastecido periodicamente.

Esse mecanismo impediu que o atacante drenasse quantidades maiores de tokens.

Segundo a equipe:

• Contratos inteligentes não foram afetados
• Sistema de staking permaneceu intacto
• Carteiras de usuários continuam seguras
• Apenas a infraestrutura Web2 da API foi explorada

---

Correção da vulnerabilidade e revisão de segurança

Após identificar o problema, a equipe da Mattle.fun tomou medidas imediatas:

• A API vulnerável foi corrigida
• Foi realizada uma revisão completa de segurança da plataforma
• O Key Vault foi recarregado
• As funcionalidades da plataforma foram restauradas normalmente

Os usuários já podem novamente reivindicar recompensas utilizando as Mattle Keys sem restrições.

---

Recompra de tokens para estabilizar o mercado

Como resposta à queda de preço causada pela venda dos tokens roubados, a equipe anunciou uma recompra de $MATTLE utilizando fundos da plataforma.

Foram utilizados 20 SOL provenientes da receita da loja do jogo para comprar tokens no mercado.

A transação foi publicada publicamente através do explorador Solscan, garantindo transparência sobre a operação.

---

O que é Mattle.fun

A Mattle.fun é uma plataforma que combina trading DeFi com mecânicas de jogo, transformando atividade de negociação em progressão dentro de um game.

O projeto foi um dos vencedores do Solana Mobile Hackathon, competição que premiou projetos focados em integração com o Solana Mobile Stack e experiência mobile-first.

A mecânica principal da plataforma funciona da seguinte forma:

• O volume de trading na Solana se transforma em estatísticas do personagem
• Os atributos incluem:
  • Velocidade
  • Sorte
  • Armadura
  • Saúde

Esses atributos são utilizados em um modo arena estilo sobrevivência, onde jogadores enfrentam ondas de inimigos em diferentes níveis de dificuldade.

---

Recursos da plataforma

Além da integração entre trading e gameplay, o ecossistema inclui:

• Missões diárias
• Mattle Keys para abrir recompensas
• Sistema de staking de $MATTLE
• Torneios com premiações
• Redução de taxas para usuários que fazem staking
• Conteúdo premium desbloqueável

A plataforma está disponível em:

• Android
• Solana dApp Store para dispositivos Saga e Seeker
• Navegador web

Entre os parceiros do projeto estão:

• MonkeDAO
• SNS
• Play Solana

---

Primeiro incidente de segurança da plataforma

Este foi o primeiro incidente de segurança divulgado desde o lançamento da Mattle.fun.

Segundo a equipe, o episódio demonstrou que o modelo de vault com liquidez limitada realmente funciona como mecanismo de proteção, reduzindo significativamente o impacto potencial de ataques.

Embora o exploit tenha causado turbulência temporária no preço do token, a equipe afirma que a infraestrutura principal permanece segura e que novos processos de auditoria e monitoramento foram reforçados para evitar ocorrências semelhantes no futuro.

---

Conclusão

O ataque à API da Mattle.fun mostra que, mesmo em projetos baseados em blockchain, componentes Web2 continuam sendo um ponto crítico de segurança.

Apesar da perda de 500 mil $MATTLE e da queda temporária no preço, o incidente foi rapidamente contido, com correção da falha, recompra de tokens e restauração completa das funcionalidades da plataforma.

Para o ecossistema GameFi em Solana, o episódio reforça a importância de segurança em toda a stack tecnológica, não apenas nos contratos inteligentes.