Compre cripto
Pagar com
USD
USD
Compra e venda
Hot
Visa, MasterCard, SEPA e mais
P2P
0 Fees
Negociação flexível e sem taxas
Cartão da Gate
Pague com criptomoedas no mundo todo
Mercados
Negociar
Básico
Avançado
Futuros
Futuros
Acesse centenas de contratos perpétuos
TradFi
Ouro
Plataforma única para ativos tradicionais globais
Opções
Hot
Negocie opções vanilla no estilo europeu
Conta unificada
Maximize sua eficiência de capital
Negociação demo
Introdução à negociação de futuros
Prepare-se para sua negociação de futuros
Eventos de futuros
Participe de eventos e ganhe recompensas
Negociação demo
Use fundos virtuais para experimentar negociações sem riscos
Earn
Lançamento
CandyDrop
Colete candies para ganhar airdrops
Launchpool
Staking rápido, ganhe novos tokens em potencial
HODLer Airdrop
Possua GT em hold e ganhe airdrops massivos de graça
Pre-IPOs
tag
Desbloqueie o acesso completo a IPO de ações globais
Pontos Alpha
Negocie on-chain e receba airdrops
Pontos de futuros
Ganhe pontos de futuros e colete recompensas em airdrop
Investimento
Square
Praça
Descubra o valor em criptografia
Live
moments live
Análise de mercado de criptomoedas ao vivo
Bate-papo
Converse com os traders de criptomoedas
Notícias
Novidades sobre criptomoedas
flower_head
Mais
Promoções
AI
Outros
TradFi
SpaceX Pre-IPOs
Recompensas
MFA

Preço de MFA Financial Inc

MFA
R$50,94
+R$1,44(+2,91%)

*Dados atualizados pela última vez: 2026-04-20 10:50 (UTC+8)

Em 2026-04-20 10:50, MFA Financial Inc (MFA) está cotada a R$50,94, com um valor de mercado total de R$5,20B, índice P/L de 5,46 e rendimento de dividendos de 7,03%. Hoje, o preço das ações variou entre R$49,94 e R$51,04. O preço atual está 1,99% acima da mínima do dia e 0,19% abaixo da máxima do dia, com um volume de negociação de 1,31M. Nas últimas 52 semanas, MFA foi negociada entre R$46,85 e R$51,03, e o preço atual está -0,19% distante da máxima das 52 semanas.

Principais estatísticas de MFA

Fechamento de ontemR$49,50
Valor de mercadoR$5,20B
Volume1,31M
Índice P/L5,46
Rendimento de dividendos (TTM)7,03%
Quantia de dividendosR$1,79
EPS diluído (TTM)1,70
Lucro Líquido (FY)R$880,27M
Receita (FY)R$4,35B
Data de rendimento2026-05-06
Estimativa de EPS0,31
Estimativa de ReceitaR$341,44M
Ações em Circulação105,17M
Beta (1A)1.616
Data ex-dividendo2026-03-31
Data de pagamento de dividendos2026-04-30

Sobre MFA

A MFA Financial, Inc., juntamente com as suas subsidiárias, opera como uma sociedade de investimento imobiliário (REIT) nos Estados Unidos. A empresa investe em ativos hipotecários residenciais, incluindo títulos hipotecários não relacionados com agências (MBS), MBS de agências e títulos de transferência de risco de crédito; empréstimos residenciais integrais, incluindo empréstimos de desempenho adquiridos, créditos deteriorados adquiridos e empréstimos não produtivos; e ativos relacionados com direitos de serviço de hipotecas. A empresa optou por ser tributada como uma REIT e não estaria sujeita a impostos federais sobre o rendimento se distribuir pelo menos 90% do seu rendimento tributável aos seus acionistas. A MFA Financial, Inc. foi fundada em 1997 e tem sede em Nova Iorque, Nova Iorque.
SetorImobiliário
IndústriaREIT - Hipoteca
CEOCraig L. Knutson
SedeNew York City,NY,US
Site oficialhttps://www.mfafinancial.com
Funcionários (ano fiscal)307,00
Receita Média (1A)R$14,19M
Lucro Líquido por FuncionárioR$2,86M

Perguntas Frequentes sobre MFA Financial Inc (MFA)

Qual é o preço das ações de MFA Financial Inc (MFA) hoje?

x
MFA Financial Inc (MFA) está sendo negociada atualmente a R$50,94, com uma variação de 24h de +2,91%. A faixa de negociação das últimas 52 semanas é de R$46,85 a R$51,03.

Quais são os preços máximo e mínimo em 52 semanas de MFA Financial Inc (MFA)?

x

Qual é o índice preço/lucro (P/L) de MFA Financial Inc (MFA)? O que esse indicador revela?

x

Qual é o valor de mercado da MFA Financial Inc (MFA)?

x

Qual é o lucro por ação (EPS) trimestral mais recente de MFA Financial Inc (MFA)?

x

Você deve comprar ou vender MFA Financial Inc (MFA) agora?

x

Quais fatores podem afetar o preço das ações da MFA Financial Inc (MFA)?

x

Como comprar ações da MFA Financial Inc (MFA)?

x

Aviso de risco

O Mercado de ações envolve um alto nível de risco e volatilidade de preços. O valor do seu investimento pode aumentar ou diminuir, e você pode não recuperar a quantia total investida. O desempenho passado não é um indicador confiável de resultados futuros. Antes de tomar qualquer decisão de investimento, avalie cuidadosamente sua experiência, situação financeira, objetivos de investimento e tolerância ao risco, além de realizar sua própria pesquisa. Quando apropriado, consulte um assessor financeiro independente.

Isenção de responsabilidade

O conteúdo desta página é fornecido apenas para fins informativos e não constitui aconselhamento de investimento, aconselhamento financeiro ou recomendações de negociação. Gate não se responsabiliza por qualquer perda ou dano decorrente dessas decisões financeiras. Além disso, observe que Gate pode não conseguir oferecer serviço completo em determinados mercados e jurisdições, incluindo, mas não se limitando aos Estados Unidos da América, Canadá, Irã e Cuba. Para mais informações sobre Locais Restritos, consulte o Contrato do Usuário.

Outros mercados de negociação

MFA
CFD
Negociar

Postagens populares sobre MFA Financial Inc (MFA)

DeepFlowTech

DeepFlowTech

7 Horas atrás
Autor: Zengineer Tradução: Deep潮 TechFlow Deep潮 Introdução: Em 18 de abril, o Kelp DAO foi roubado em 292 milhões de dólares, sendo o maior incidente DeFi desde 2026. A vulnerabilidade não estava no código do contrato inteligente, mas na configuração do nó de validação LayerZero cross-chain 1-de-1 — uma única falha pode falsificar mensagens entre cadeias. Há 12 dias, ao usar minha ferramenta de auditoria de código aberto com IA para escanear o Kelp, já tinha marcado esse risco. Este artigo revisa todo o processo do ataque e também reflete honestamente sobre três coisas que nossa ferramenta não fez corretamente na época. O que é o Kelp DAO Kelp DAO é um protocolo de recompartilhamento de liquidez construído sobre o EigenLayer. O mecanismo funciona assim: usuários depositam ETH ou tokens de recompartilhamento de liquidez (stETH, ETHx) no contrato do Kelp, que por sua vez delega esses ativos a nós operadores do EigenLayer para recompartilhamento — ao mesmo tempo, fornecendo segurança a múltiplos serviços de validação ativa (AVS). Como recompensa, os usuários recebem rsETH como prova. Diferente de recompartilhar diretamente no EigenLayer (onde os ativos ficam lockados), o rsETH é líquido — pode ser negociado, usado como garantia em protocolos de empréstimo como Aave, ou transferido entre cadeias. Para possibilitar essa liquidez cross-chain, o Kelp usa o padrão OFT (Omnichain Fungible Token, token fungível omnichain) do LayerZero, implantando rsETH em mais de 16 blockchains. Quando você transfere rsETH do Ethereum para uma Layer 2, a DVN (Rede de Verificadores Descentralizados) do LayerZero verifica se a mensagem cross-chain é legítima. Essa arquitetura de ponte é o núcleo da história que vem a seguir. O Kelp foi iniciado por Amitej Gajjala e Dheeraj Borra (ex-cofundadores da Stader Labs), lançado em dezembro de 2023, com TVL máximo de 2,09 bilhões de dólares, governança com multiassinatura 6/8 e um período de bloqueio de 10 dias para atualizações de contrato. O token de governança KERNEL controla as linhas de produtos Kelp, Kernel e Gain. O incidente de roubo Em 18 de abril de 2026, o atacante retirou 116.500 rsETH do bridge cross-chain do Kelp DAO, equivalente a aproximadamente 292 milhões de dólares — o maior ataque DeFi desde 2026. A causa raiz não foi uma falha no contrato inteligente, mas uma configuração: um DVN de 1-de-1 (apenas um nó de validação, com assinatura única) permitiu que um nó comprometido falsificasse mensagens cross-chain. Há 12 dias, em 6 de abril, minha ferramenta de auditoria de segurança de código aberto já tinha marcado esse vetor de ataque. Primeiro, uma coisa: esse roubo foi causado por uma pessoa real perdendo dinheiro de verdade. Usuários que nunca interagiram com rsETH, como depositantes de WETH na Aave, tiveram seus fundos congelados; LPs em vários protocolos enfrentaram perdas que eles nem assinaram. Este artigo analisa o que aconteceu, o que nossa ferramenta detectou — mas o custo real para as pessoas foi maior do que qualquer pontuação de risco poderia indicar. O relatório completo está no GitHub, com timestamps verificáveis por qualquer um. A seguir, o que detectamos, o que deixamos passar e o que isso significa para as ferramentas de segurança DeFi. 46 minutos, impacto no DeFi Às 17h35 UTC de 18 de abril, o atacante comprometeu o nó DVN isolado e fez com que ele "aprovasse" uma mensagem falsificada. O endpoint LayerZero viu o DVN aprovar, e enviou a mensagem para o contrato OFT do Kelp via lzReceive — que então, na rede principal do Ethereum, cunhou 116.500 rsETH. A mensagem afirmava que outros blockchains tinham bloqueado ativos equivalentes como garantia. Mas esses ativos nunca existiram. Depois, seguiu-se um procedimento padrão de lavagem de dinheiro no DeFi: Usar o rsETH roubado como garantia em Aave V3, Compound V3, Euler Emprestar cerca de 236 milhões de dólares em WETH usando essas garantias sem respaldo real Concentrar aproximadamente 74.000 ETH, sacar via Tornado Cash Após 46 minutos, às 18h21, o multisig de emergência do Kelp congelou o contrato. O atacante tentou duas vezes (cada uma com 40.000 rsETH, cerca de 100 milhões de dólares), mas as transações foram revertidas — a pausa impediu perdas de cerca de 200 milhões de dólares. Ainda assim, o impacto foi grande. Aave V3 absorveu cerca de 177 milhões de dólares em perdas. O token AAVE caiu 10,27%. ETH caiu 3%. A utilização de WETH na Aave atingiu 100%, com os depositantes tentando retirar seus fundos. Os rsETH em mais de 20 L2s tornaram-se ativos de valor duvidoso da noite para o dia. O que o relatório de 6 de abril revelou No começo de abril, pouco depois do roubo de 285 milhões de dólares no Drift Protocol em 1º de abril, criei uma estrutura de avaliação de risco de arquitetura com IA chamada crypto-project-security-skill — usando dados públicos (DeFiLlama, GoPlus, Safe API, verificações on-chain) para avaliar protocolos DeFi. Não é um scanner de código nem uma verificação formal. O incidente do Drift mostrou que as maiores perdas não estavam no código, mas em vulnerabilidades de governança, configurações e arquitetura — áreas que os scanners de código não alcançam. Então, criei uma ferramenta específica para avaliar esses aspectos: governança, dependência de oráculos, mecanismos econômicos, arquitetura cross-chain, comparando com ataques históricos (Drift, Euler, Ronin, Harmony, Mango). Em 6 de abril, executei uma auditoria completa no Kelp DAO. O relatório completo está no GitHub, com timestamps imutáveis. A pontuação geral do Kelp foi 72/100 (risco moderado). Depois, percebi que essa nota foi muito branda — as lacunas de informações sobre a configuração cross-chain, que poderiam ter reduzido a nota, não foram consideradas. Mesmo com risco moderado, o relatório apontou o vetor de ataque que foi explorado posteriormente. Abaixo, uma captura da seção "lacunas de informação" do relatório — sobre a configuração DVN do Kelp, que acabou sendo a causa do roubo de 292 milhões de dólares: Legenda: Seção "lacunas de informação" do relatório de 6 de abril, destacando a configuração opaca do DVN Vamos comparar o que o relatório apontou, com o que foi realmente vulnerável. Descoberta 1: Configuração DVN opaca (alerta) Texto do relatório: "Configuração do DVN do LayerZero (conjunto de validadores por cadeia, requisitos de threshold) não divulgada" O que realmente aconteceu: O Kelp usou uma configuração de 1-de-1 no DVN. Um nó. Um ponto único de falha. Se um nó for comprometido, o atacante pode falsificar mensagens. Se fosse 2-de-3 (recomendado na indústria), o atacante precisaria comprometer pelo menos dois validadores independentes. Para esclarecer: esse é um problema do Kelp, não do LayerZero. LayerZero fornece a infraestrutura — o framework DVN — e cada protocolo escolhe sua configuração: quantos validadores, quem são, thresholds por cadeia. O Kelp escolheu 1-de-1 ao implantar o OFT. LayerZero suporta 2-de-3 ou mais, mas o Kelp não ativou. Exemplo: AWS oferece MFA (autenticação multifator). Se sua conta foi roubada por você nunca ter ativado MFA, o problema é seu, não da AWS. LayerZero fornece mecanismos de segurança, o Kelp não os usou. Nosso relatório na época não pôde verificar o threshold exato do DVN (pois o Kelp não revelou), mas listou essa opacidade como uma lacuna de risco. Não divulgar é um sinal de alerta. Descoberta 2: Falha de ponto único em 16 cadeias (impacto direto) Texto do relatório: "Falha de ponto único do DVN do LayerZero pode afetar as 16 cadeias suportadas do rsETH" O que realmente aconteceu: A mensagem falsificada atingiu diretamente a rede principal do Ethereum, e o impacto se espalhou para todas as cadeias que tinham rsETH. LayerZero pausou preventivamente todas as pontes OFT saindo do Ethereum. Os detentores de rsETH em mais de 20 L2s ficaram sem garantia clara de seus tokens. Esse é um risco sistêmico de deploy multi-chain: rsETH circula em Arbitrum, Optimism, Base, Scroll, etc., mas seu valor depende dos ativos na rede principal. Se a ponte principal for comprometida, o rsETH em todas as L2s perde garantia — os detentores não podem resgatar nem verificar o valor de seus tokens. Serviços como earnETH da Lido (com exposição a rsETH) e a ponte LayerZero da Ethena também tiveram que pausar. O raio de impacto é maior que o próprio Kelp. Descoberta 3: Controle de governança cross-chain não verificado (problema relevante) Texto do relatório: "Controle de governança do DVN do LayerZero por cada cadeia não verificado — especialmente: esses controles pertencem ao mesmo multi-sig 6/8 e lock de 10 dias, ou a chaves independentes?" O que realmente aconteceu: A configuração do DVN não está sob governança estrita do protocolo principal. Se as configurações da ponte mudarem, elas podem ser controladas por um multi-sig 6/8 com lock de 10 dias, ou por chaves independentes. Como o DVN é de 1-de-1, um único operador pode alterar a configuração, o que é um risco. Isso revela uma armadilha comum de governança: muitos protocolos têm multi-sig e lock de 10 dias para atualizações de contratos principais, mas operações diárias — configurações de ponte, oráculos, listas brancas — muitas vezes são controladas por uma única chave de admin. O Kelp tem uma governança avançada (6/8 + lock de 10 dias), mas essa proteção não cobre o maior vetor de ataque: a configuração da ponte cross-chain. Descoberta 4: Modo de ataque semelhante ao Ronin/Harmony (impacto direto) Texto do relatório: "O padrão de ataque mais relevante na história envolve segurança de ponte. A implantação do LayerZero do Kelp em 16 cadeias traz complexidade operacional semelhante à arquitetura multi-chain do Ronin." O que realmente aconteceu: O ataque seguiu quase exatamente o roteiro do Ronin — validadores comprometidos, mensagens falsificadas, retirada de ativos. Nosso módulo de detecção de padrões de ataque identificou corretamente essa arquitetura como de alto risco, comparando com ataques históricos. Contexto histórico: em 2022, a ponte Ronin teve 5 validadores (de 9) comprometidos, perdendo 625 milhões de dólares; no mesmo ano, a ponte Horizon da Harmony, com 2 de 5 validadores, perdeu 100 milhões. O caso do Kelp é ainda mais extremo — com apenas 1 validador, o limiar de ataque é mínimo. Nosso sistema consegue marcar esse risco porque compara a arquitetura com ataques históricos, não apenas o código. Descoberta 5: Sem pool de seguro (aumenta o dano) Texto do relatório: "O protocolo não possui um pool de seguro dedicado, nem mecanismo de compartilhamento de perdas para absorver eventos de penalização." O que realmente aconteceu: Sem reserva de seguro, as perdas de 292 milhões de dólares foram absorvidas por protocolos downstream. A reserva de recuperação do Aave cobriu menos de 30% do bad debt de 177 milhões de dólares. LPs que não assinaram o contrato de rsETH assumiram a maior parte do impacto. O atacante usou o rsETH roubado como garantia em Aave V3, Compound V3, Euler, e emprestou WETH real. Quando o rsETH foi considerado sem respaldo, essas posições se tornaram bad debt "não liquidável" — garantias viraram papel, mas o WETH emprestado desapareceu. A utilização de WETH na Aave atingiu 100%, impedindo saques. Mesmo depositantes de WETH na Aave, que nunca interagiram com rsETH, tiveram seus fundos afetados. O seguro do Nexus Mutual cobre apenas certos produtos, não a exposição principal ao rsETH. Ambos os lados falharam: a Kelp, que gerencia US$ 1,3 bilhão em TVL, não tem seguro ou mecanismo de absorção de perdas; e a Aave, que aceita rsETH como garantia, não avaliou adequadamente o risco de configuração da ponte. Seus parâmetros de risco (LTV, limiar de liquidação) são para volatilidade normal, não para o risco de ponte comprometida que zeraria garantias de uma noite para outra. A reserva de recuperação não cobre nem 30% do bad debt. É uma falha de precificação de risco: a Aave trata o rsETH como um ativo normal, mas ele carrega o risco de falha da ponte. A soma dessas falhas resultou na perda de 292 milhões de dólares — a falta de seguro na Kelp e a avaliação inadequada de risco na Aave criaram uma combinação fatal. Onde erramos Três coisas poderiam ter sido feitas melhor: Avaliação de risco subestimada. Classificamos o risco do bridge como "moderado". No relatório, 3 das 5 lacunas de informação relacionadas à configuração do LayerZero poderiam ter elevado o risco para "alto" ou "grave". A opacidade por si só deveria ser um sinal mais forte. Não penetramos na camada de configuração. Repetidamente, pedimos ao Kelp que revelasse o threshold do DVN, mas não conseguimos verificar de forma independente. Essa é uma armadilha estrutural que o análise pós-mortem do JingHeng apontou: ferramentas atuais focam na lógica do código, não na configuração. Marcamos o problema, mas não conseguimos responder. Não verificamos na cadeia. A configuração do DVN pode ser lida diretamente pelo contrato LayerZero EndpointV2 na cadeia. Poderíamos consultar o registry ULN302 para verificar o threshold do DVN do Kelp, sem depender da divulgação. Se tivéssemos feito isso, veríamos que a configuração era 1-de-1, sem precisar do Kelp revelar. Essa é uma melhoria concreta: incluir validação on-chain do DVN na avaliação cross-chain. A avaliação foi pouco específica e pouco acionável. Dizer que "a configuração do DVN não foi divulgada" é uma observação de documentação, não uma previsão de ataque. Esses riscos (centralização de oráculos, dependência de ponte, falta de seguro) são comuns na maioria dos protocolos cross-chain. Nossa ferramenta marcou a opacidade do Kelp, mas também detectou padrões semelhantes em dezenas de protocolos não atacados. Sem uma taxa de falsos positivos, afirmar que "previmos" é exagero. A verdade mais honesta é: fizemos perguntas relevantes que outros não fizeram, e uma delas acabou sendo a causa principal. Sobre "divulgação responsável" Uma questão justa: se em 6 de abril já havíamos marcado esses riscos, por que não avisamos o Kelp antes do ataque de 18 de abril? Não avisamos. Porque o que detectamos foi opacidade — "configuração do DVN não divulgada" — não uma vulnerabilidade específica. Não sabíamos se a configuração era 1-de-1, só que ela não era pública. Sem detalhes concretos, não havia como divulgar um bug. "Falta de documentação da ponte" é uma questão de governança, não um bug a ser reportado. Depois, poderíamos ter entrado em contato com o time do Kelp para perguntar sobre o threshold do DVN. Essa conversa poderia ter revelado a configuração 1-de-1 e ajudado a evitar o roubo. Não fizemos. Essa é uma lição: mesmo que uma descoberta pareça vaga demais para uma divulgação formal, uma mensagem privada ainda vale a pena. O que isso significa para a segurança do DeFi O roubo do Kelp — assim como o de Drift 17 dias antes — não foi uma falha no código. Ferramentas automáticas como Slither, Mythril ou GoPlus não detectam esse tipo de vulnerabilidade. A falha está na configuração, na governança e na arquitetura, acima do código. Essa é a principal tese do crypto-project-security-skill: Segurança de protocolos não é só código. Um protocolo pode ter um código Solidity perfeito, cinco auditorias de empresas renomadas, uma recompensa de US$ 250 mil — e ainda assim ser roubado por causa de uma configuração de validação de ponte mal feita, levando a uma perda de 292 milhões de dólares. A ferramenta está aberta no GitHub — qualquer um pode revisar a metodologia, rodar localmente ou melhorar. Linha do tempo 12 dias. O sinal estava lá. A questão é: como a comunidade pode criar ferramentas que detectem esses sinais antes que uma ponte seja derrubada? O que você pode fazer Se você tem ativos em protocolos DeFi com bridges cross-chain: Faça sua própria auditoria. A ferramenta é open source. Não confie só na nossa palavra — verifique você mesmo. Verifique a configuração do bridge. Se um protocolo não quiser divulgar seu threshold do DVN, considere isso um sinal de alerta. Nosso relatório faz exatamente isso, e a experiência mostra que acertamos. Não confie apenas na auditoria de código. O Kelp passou por mais de cinco auditorias de empresas renomadas (Code4rena, SigmaPrime, MixBytes). Auditorias tradicionais focam na lógica do código, não na configuração de DVN — que é uma análise diferente, e não uma falha de auditoria. Avalie a cobertura de seguro. Se um protocolo não tem um pool de seguro, e você é LP de uma plataforma que aceita seus tokens como garantia, você está implicitamente assumindo esse risco. Como os depositantes de WETH na Aave, que aprenderam isso na prática. Visão maior: IA como camada de segurança Este artigo fala de uma ferramenta e de um roubo, mas a mensagem maior é: agentes de IA podem se tornar uma camada de segurança autônoma para o DeFi. O modo tradicional de segurança no cripto é: protocolos contratam auditorias, que revisam o código, que geram relatórios. Mas esse método tem lacunas — o incidente do Kelp mostra isso: ele foca na correção do código, mas ignora configurações, governança e arquitetura. Claude Code e ferramentas similares oferecem uma alternativa: qualquer pessoa pode usar dados públicos para rodar uma avaliação de risco com IA em minutos. Você não precisa pagar US$ 200 mil por uma auditoria, nem saber Solidity. O agente compara a arquitetura do protocolo com ataques conhecidos, e gera perguntas que você deveria fazer antes de investir. Isso não substitui auditorias profissionais — mas reduz a barreira para uma análise inicial de due diligence. Um LP que pensa em investir em um novo protocolo de recompartilhamento pode rodar uma avaliação estruturada de riscos de governança, oráculos, ponte e mecanismos econômicos. Para investidores de varejo e de médio porte, é uma mudança real na autoproteção. A avaliação do Kelp não foi perfeita. Marcou risco de ponte como moderado, deveria ser grave. Não penetramos na configuração. Mas fez as perguntas certas — e se a equipe do Kelp ou qualquer LP tivesse levado essas questões a sério, poderia ter evitado a perda de 292 milhões de dólares. Referências CoinDesk: 2026 Year’s Biggest Crypto Attack — Kelp DAO Stolen $292M Crypto Briefing: Kelp DAO suffers $292M bridge attack DL News: Hacker ataca protocolo DeFi Kelp DAO, perda de cerca de $300M Bitcoin.com: ZachXBT revela ataque de mais de $280M ao KelpDAO 鉅亨網: Vulnerabilidade de $293M não está no código Declaração oficial do Aave no X Relatório completo de segurança do Kelp DAO (6 de abril de 2026) Código fonte do crypto-project-security-skill
KEP0,00%
ZRO-0,19%
EIGEN+5,96%
ETH-0,38%
0
0
0
0
動區BlockTempo

動區BlockTempo

04-16 23:53
Cloudflare na Agents Week 2026 lança oficialmente o Cloudflare Mesh, substituindo a arquitetura tradicional de VPN e túneis SSH por uma topologia de rede bidirecional, multiusuário e global, permitindo que agentes de IA acessem infraestrutura privada diretamente dentro do quadro de políticas Zero Trust, oferecendo uma solução inicial gratuita com 50 nós. (Preâmbulo: Após integrar Kimi K2.5, Cloudflare processa 7 bilhões de tokens por dia, economizando 77% nos custos de auditoria de segurança) (Complemento de contexto: Cloudflare escolhe Coinbase ou Stripe? Esta decisão define o padrão de pagamento para agentes de IA) Índice deste artigo Alternar * A armadilha do VPN: assume que você está sempre presente * Fundamentos técnicos do Mesh: bidirecional, global, auto-transparente NAT * Aplicação automática de políticas Zero Trust ao tráfego de agentes * Roteiro e promessas ainda não cumpridas * O que os desenvolvedores podem fazer agora Às três da manhã, seu agente de IA tenta fazer sua décima milésima solicitação API, enquanto sua VPN ainda exibe janelas de login, esperando que você faça login manualmente. Esta é a realidade de equipes de engenharia em 2026, quando agentes de IA começam a consultar bancos de dados e integrar serviços privados autonomamente. Percebemos então: as ferramentas de rede atuais (VPN, SSH, Bastion Host) foram projetadas para “humanos”. Elas requerem cliques, interação, intervenção humana. Diante de uma era de IA sem necessidade de intervenção humana, essas ferramentas tornam-se os pontos mais frágeis de falha única do sistema. Por isso, na última (14) quarta-feira, durante sua conferência anual “Agents Week 2026”, a Cloudflare lançou oficialmente o **Cloudflare Mesh**, declarando sua intenção de preencher essa lacuna arquitetônica com uma infraestrutura de rede privada nativa para IA, substituindo as antigas ferramentas feitas para operação manual. ### A armadilha do VPN: assume que você está sempre presente O modelo de confiança do VPN tradicional baseia-se numa premissa implícita: há uma “pessoa” verificando identidade, iniciando conexão, responsável pelo acesso. Essa premissa encontra dificuldades na era dos agentes de IA. Agentes não aguardam prompts de MFA interativos. Não podem configurar túneis SSH manualmente. Mais importante, uma vez estabelecida a conexão VPN, quase não há mecanismos para saber o que o agente está fazendo do outro lado: ele pode escanear em milissegundos dados que você nunca imaginou que pudesse acessar. Outra opção extrema é expor o serviço na internet pública, o que equivale a deixar a chave na fechadura. A Cloudflare aponta diretamente na sua comunicação que esses três caminhos têm uma vulnerabilidade comum: “Nenhuma dessas soluções permite que você veja o que o agente realmente está fazendo após a conexão.” O design do Cloudflare Mesh começa justamente por resolver a visibilidade antes de falar de conectividade. ### Fundamentos técnicos do Mesh: bidirecional, global, auto-transparente NAT Em comparação com o produto existente Cloudflare Tunnel, a diferença mais crucial na arquitetura do Mesh está na direção do fluxo. Tunnel é unidirecional: o tráfego entra na sua infraestrutura vindo de fora. Mesh é bidirecional, multiusuário (bidirectional, many-to-many): qualquer nó pode iniciar uma conexão com qualquer outro, roteando o tráfego através da rede global da Cloudflare, presente em 330 cidades. Esse design resolve diretamente o problema mais difícil para engenheiros em ambientes corporativos: atravessar NAT. Redes domésticas, firewalls de escritórios, VPCs na nuvem: configurações complexas de NAT geralmente requerem regras de encaminhamento manuais, mas o Mesh promete tratar tudo automaticamente. Para os desenvolvedores, a integração com a Cloudflare Developer Platform é o incentivo mais direto. Basta vincular o Mesh no arquivo wrangler.jsonc, e os Workers e Objetos Duráveis poderão usar env.MESH.fetch() para chamar serviços privados, como se fosse uma API externa — porém, todo o tráfego permanece dentro do quadro de políticas Zero Trust da Cloudflare. Na nomenclatura, também há uma unificação de marca: o antigo WARP Connector passa a se chamar “Cloudflare Mesh node”, e o WARP Client, “Cloudflare One Client”, consolidando a linha de produtos Mesh. ![](https://img-cdn.gateio.im/social/moments-01411aa9cc-57f185ab08-8b7abd-badf29) ### Políticas Zero Trust aplicadas automaticamente ao tráfego de agentes A Cloudflare reforça que o Mesh não é um produto isolado, mas uma extensão nativa do pacote Cloudflare One SASE. Isso significa que as políticas existentes de Gateway, verificações de integridade de dispositivos, proteção contra vazamento de dados (DLP), podem ser aplicadas automaticamente ao tráfego originado por agentes, sem necessidade de reconfiguração. Essa abordagem é de grande importância para equipes de segurança corporativa. O problema dos agentes de IA não é apenas “conseguir conectar”, mas também “quem controla após a conexão”. O Mesh integra o tráfego de agentes ao quadro de governança já existente, ao invés de criar uma porta lateral difícil de auditar. No que diz respeito ao preço, a Cloudflare oferece uma cota gratuita bastante acessível: qualquer conta pode usar gratuitamente 50 nós e 50 usuários, ideal para equipes pequenas ou desenvolvedores independentes testarem cenários de “acesso de agentes a laboratórios domésticos”. ### Roteiro e promessas ainda não cumpridas Vale notar que várias funcionalidades centrais descritas na comunicação da Cloudflare ainda estão na fase de roteiro, não disponíveis atualmente. * **Hostname Routing** (permite que agentes acessem diretamente nomes internos como wiki.local, api.staging.internal) previsto para o verão de 2026 * **Mesh DNS** (atribuição automática de nomes como postgres-staging.mesh a cada nó) em uma fase posterior * **Roteamento baseado em identidade** — capacidade de distinguir se o tráfego foi iniciado por um agente principal, patrocinador ou subagente, atualmente em “planejamento”, sem prazo definido. Suporte a containers (Docker, Kubernetes, ambientes CI/CD para implantação de nós Mesh) também só deve chegar até o final de 2026. Em resumo, o Mesh disponível hoje é principalmente a vinculação de VPCs de Workers/Durable Objects, com conectividade básica entre nós. Uma governança mais detalhada de identidade de agentes ainda depende de futuras atualizações. ### O que os desenvolvedores podem fazer agora Para equipes já integradas ao ecossistema Cloudflare One, o Mesh pode ser ativado sem necessidade de solicitação adicional, usando a conta existente. A integração de VPC com Workers requer a adição do vínculo no wrangler.jsonc, e depois usar env.MESH.fetch() para chamar endpoints privados. Para equipes em fase de avaliação, o cenário de validação mais imediato é: permitir que um agente de codificação acesse um banco de dados staging, ou que um agente implantado na nuvem chame uma API interna do escritório. Esses testes de conectividade básica podem ser feitos já hoje. Antes do lançamento do hostname routing, a conexão direta via IP:porta ainda é a principal opção, embora não seja ideal. A experiência de resolução de nomes que faz o agente parecer estar na rede interna só estará disponível após o verão. ![](https://img-cdn.gateio.im/social/moments-df0e03344e-1750384ce9-8b7abd-badf29) #####
1
0
0
0
TechubNews

TechubNews

04-16 10:23
Escrevendo: Slow Fog Technology Em 7 de abril de 2026, o FBI (FBI) publicou o "Relatório de Crimes na Internet de 2025". Este relatório coincide com o 25º aniversário do Centro de Denúncias de Crimes Cibernéticos (IC3) do FBI, baseado em mais de 1 milhão de denúncias coletadas em 2025, analisando profundamente a escala histórica de perdas que ultrapassou 20,8 bilhões de dólares, o perfil das vítimas, fraudes de investimento e outros tipos de crimes principais, com foco na evolução da inteligência artificial (AI) na fraude online e nos avanços das autoridades na recuperação de ativos. Este artigo interpretará os principais pontos do relatório, ajudando os leitores a compreender rapidamente as mudanças dinâmicas nas ameaças globais de segurança cibernética em 2025, aprimorando o entendimento e a capacidade de prevenção contra fraudes complexas na rede e ameaças impulsionadas por IA. Ponto-chave um: Dados de denúncias do IC3 em 2025 1. Situação geral Em 2025, o IC3 recebeu 1.008.597 denúncias, com perdas totais de até 20,877 bilhões de dólares, um aumento de 26% em relação a 2024, com uma média de aproximadamente 20.699 dólares de prejuízo por incidente. Destas, 85% das perdas foram causadas por fraudes online. 2. Situação relacionada às criptomoedas Denúncias relacionadas a criptomoedas totalizaram 181.565, causando perdas acumuladas de 11,366 bilhões de dólares, um aumento de 22% em relação a 2024. Entre os denunciantes, 18.589 investidores perderam mais de 100 mil dólares. Entre todos os denunciantes, o grupo com mais de 60 anos representa a maior proporção. Ponto-chave dois: Análise do grupo de vítimas 1. Distribuição geral por idade - Acima de 60 anos: 201.266 denúncias, perdas de aproximadamente 7,75 bilhões de dólares. - Entre 50-59 anos: 124.820 denúncias, perdas de aproximadamente 3,68 bilhões de dólares. - Entre 40-49 anos: 167.066 denúncias, perdas de aproximadamente 2,96 bilhões de dólares. - Entre 30-39 anos: 153.293 denúncias, perdas de aproximadamente 1,74 bilhões de dólares. - Entre 20-29 anos: 112.069 denúncias, perdas de aproximadamente 560 milhões de dólares. - Menores de 20 anos: 31.254 denúncias, perdas de aproximadamente 67,1 milhões de dólares. 2. Grupo de vítimas de criptomoedas Na fraude de investimento em criptomoedas, o grupo com mais denúncias é o de 60 anos ou mais (13.685 denúncias), com perdas de até 2,76 bilhões de dólares, muito acima de outros grupos etários. Este grupo também foi mais afetado por fraudes em caixas eletrônicos/kiosques de criptomoedas, com 6.188 denúncias e perdas de aproximadamente 257 milhões de dólares. Devido à falta de compreensão sobre novas tecnologias financeiras e métodos de pagamento (como caixas eletrônicos de criptomoedas, transferências por QR code, etc.) e à baixa conscientização de prevenção, o grupo com mais de 60 anos tornou-se alvo principal dos fraudadores. Vale destacar que muitos vítimas, após serem enganadas pela primeira vez, caem em novas fraudes ao confiar em serviços de recuperação de fundos, com 2.529 denúncias nesta categoria, acumulando perdas superiores a 540 milhões de dólares, sendo o grupo mais afetado. 3. Principais tipos de fraudes enfrentadas pelo grupo acima de 60 anos - Tipos de fraude mais denunciados: phishing / impersonificação, suporte técnico / fraude de atendimento ao cliente, fraudes de investimento, vazamento de dados pessoais, fraudes sentimentais / de confiança. - Tipos de fraude com maiores perdas: fraudes de investimento, suporte técnico / fraude de atendimento ao cliente, fraudes sentimentais / de confiança, fraudes por e-mail comercial (BEC), impersonificação de funcionários do governo. Ponto-chave três: Análise dos tipos de crime 1. Pelo número de denúncias - Phishing / engano eletrônico: 191.561 casos. - Extorsão: 89.129 casos. - Fraudes de investimento: 72.984 casos. - Vazamento de dados pessoais: 67.456 casos. - Não pagamento / não envio: 56.478 casos. 2. Pelo valor de perdas - Fraudes de investimento: aproximadamente 8,649 bilhões de dólares. - Fraudes por e-mail comercial (BEC): aproximadamente 3,047 bilhões de dólares. - Fraudes de suporte técnico / atendimento ao cliente: aproximadamente 2,135 bilhões de dólares. - Vazamento de dados pessoais: aproximadamente 1,315 bilhões de dólares. - Fraudes sentimentais / de confiança: aproximadamente 929 milhões de dólares. 3. Crimes relacionados a criptomoedas Denúncias mais frequentes: fraudes de investimento (61.559 casos), extorsão (23.797 casos). Maiores perdas: fraudes de investimento (cerca de 7,28 bilhões de dólares), fraudes de suporte técnico / atendimento ao cliente (cerca de 1,23 bilhões de dólares). Ponto-chave quatro: Resultados na luta contra fraudes online 1. Situação geral das fraudes online Em 2025, o IC3 recebeu 452.868 denúncias de fraudes online, causando perdas de 17,697 bilhões de dólares, representando 85% do total de perdas do ano. As categorias de transações mais denunciadas incluem criptomoedas, transferências eletrônicas / ACH, cartões de débito / crédito, transferências ponto a ponto, cartões-presente / pré-pagos, cheques / ordens bancárias e dinheiro em espécie. 2. Métodos típicos de fraude Acesso não autorizado às contas: cerca de 4.700 casos, perdas de 359,7 milhões de dólares. Fraude de entrega rápida de ouro: cerca de 725 denúncias, perdas de 311,8 milhões de dólares. Fraude de clubes de investimento: cerca de 1.600 denúncias, perdas de 160 milhões de dólares. Impersonificação de funcionários do governo: cerca de 32.000 denúncias, perdas de 798 milhões de dólares. 3. Ameaças na rede Em 2025, os tipos de ameaças na rede reportados ao IC3 incluem: Vazamento de dados: 39%, o mais comum. Ransomware: 36%, o segundo mais comum. Troca de SIM card: 10%. Malware: 9%. Botnets: 7%. Dentre essas, 3.600 denúncias de ransomware causaram perdas superiores a 32 milhões de dólares. As principais variantes de ransomware incluem Akira, Qilin, INC./Lynx/Sinobi, BianLian, Play, Ransomhub, Lockbit, Dragonforce, SAFEPA, Medusa. Diante do aumento de ataques de ransomware, o FBI recomenda que empresas e organizações adotem medidas de proteção essenciais: Criar backups remotos ou offline e manter rotinas de backup e recuperação; Remover senhas padrão e credenciais ao instalar softwares; Desativar e remover protocolos desnecessários por padrão; Habilitar autenticação multifator (MFA) sempre que possível; Proteger pontos de entrada iniciais; Implementar segmentação de rede para impedir a propagação de ransomware; Atualizar regularmente todos os sistemas operacionais, softwares e firmwares. 4. Resultados na recuperação de ativos Em 2025, o FBI RAT interceptou 3.900 casos através do FFKC, congelando fundos de 679 milhões de dólares, com uma taxa de sucesso de 58% na interceptação de fundos. A "Operação Level Up" (Operation Level Up) emitiu alertas a mais de 8.000 vítimas e recuperou mais de 500 milhões de dólares em perdas potenciais. Em cooperação com autoridades indianas, combateu fraudes em call centers, realizando mais de 27 operações conjuntas e efetuando mais de 475 prisões. No combate a fraudes financeiras, conseguiu congelar e recuperar várias grandes quantidades de fundos. Ponto-chave cinco: Aplicação da inteligência artificial (AI) na criminalidade cibernética 1. Situação geral Em 2025, o IC3 recebeu mais de 22.000 denúncias relacionadas a informações envolvendo IA, com perdas totais superiores a 893 milhões de dólares. 2. Pelo número de denúncias Fraudes de investimento: 4.356 casos. Extorsão: 1.764 casos. Vazamento de dados pessoais: 1.204 casos. Phishing / impersonificação: 803 casos. Assédio / perseguição: 763 casos. 3. Pelo valor de perdas Fraudes de investimento: aproximadamente 632 milhões de dólares. Fraudes por e-mail comercial (BEC): aproximadamente 30 milhões de dólares. Fraudes de suporte técnico / atendimento ao cliente: aproximadamente 19,46 milhões de dólares. Fraudes sentimentais / de confiança: aproximadamente 19,04 milhões de dólares. Vazamento de dados pessoais: aproximadamente 18,77 milhões de dólares. 4. Aplicações específicas da IA em cenários de fraude típicos Segundo o relatório, a IA já é amplamente utilizada nos seguintes cenários de fraude: - Fraude por e-mail comercial (BEC): geração de e-mails falsificados imitando executivos de alto nível ou comandos de transferência por clonagem de voz, com perdas superiores a 30 milhões de dólares em 2025; - Fraude sentimental / de confiança: uso de IA para criar identidades falsas e roteiros de diálogo, até mesmo clonagem de voz para simular pedidos de ajuda de familiares, com perdas superiores a 19 milhões de dólares; - Fraude de recrutamento: uso de voz falsificada ou deepfake em entrevistas remotas para obter acesso interno às empresas, com perdas próximas a 13 milhões de dólares; - Fraude de investimento: geração em massa de conteúdos de comunicação personalizados por IA, além de vídeos e áudios falsificados de celebridades ou autoridades, com perdas superiores a 632 milhões de dólares. De modo geral, a IA está reduzindo a barreira para fraudes e aumentando significativamente a escala e a capacidade de disfarce dos ataques. Resumo O "Relatório de Crimes na Internet de 2025" do FBI revela uma evolução profunda no ecossistema do crime cibernético: por um lado, a escala das fraudes continua crescendo, com criptomoedas permanecendo como veículo principal para transferência de fundos e lavagem de dinheiro; por outro, os métodos criminosos estão acelerando sua transformação de "fraudes oportunistas" para operações "precisas e industrializadas", especialmente na infiltração de grupos de idosos e na propagação de "fraudes de recuperação", refletindo uma exploração profunda do psicológico e do comportamento das vítimas. Além disso, a introdução de tecnologias de IA está reduzindo a barreira para fraudes e ampliando a eficiência dos ataques, transformando o cibercrime em um sistema de ameaças complexas com automação e escala. Apesar dos avanços das autoridades na interceptação de fundos e na cooperação internacional, a escala geral de perdas e a tendência de crescimento indicam que o cenário de risco permanece severo. Para usuários comuns, desenvolver habilidades básicas de identificação de riscos e conscientização contra fraudes tornou-se uma "matéria obrigatória" na era digital; para os participantes do setor e reguladores, o desafio será aprimorar a capacidade de identificar fluxos de fundos, padrões de comportamento e sinais anômalos de forma integrada, além de fortalecer a cooperação transregional para enfrentar novas formas de crimes cibernéticos.
0
0
0
0