Mais de US$ 3,1 bilhões em criptomoedas foram perdidos só no primeiro semestre de 2025. Isso aconteceu por conta de problemas como bugs em contratos inteligentes, falhas de segurança e golpes do tipo rug pull, segundo um relatório da Hacken, uma empresa especializada em auditoria de segurança blockchain. É um valor que já supera os US$ 2,85 bilhões perdidos em todo o ano de 2024.
Um dos incidentes mais marcantes foi o hack de US$ 1,5 bilhão da Bybit, que ocorreu em fevereiro e chamou bastante a atenção para as fraquezas do setor. No geral, o cenário de segurança nas criptos continua complicado. Entre os principais tipos de perda, 59% foram causadas por explorações de controle de acesso. Além disso, vulnerabilidades em contratos inteligentes contribuíram com cerca de 8%, totalizando aproximadamente US$ 263 milhões roubados.
Vulnerabilidades em Destaque
Yehor Rudytsia, da Hacken, comentou que notaram uma exploração significativa na GMX v1, uma plataforma cuja base de código estava desatualizada e se tornou alvo de ataques a partir do terceiro trimestre de 2025. Para Rudytsia, é crucial que os projetos estejam atentos às suas bases de código mais antigas.
À medida que o setor de criptomoedas vai amadurecendo, os invasores deixaram de focar apenas em falhas técnicas e começaram a explorar vulnerabilidades humanas. Essas táticas incluem ataques de assinatura cega, vazamento de chaves privadas e campanhas bem elaboradas de phishing. Isso mostra que o controle de acesso é uma área crítica que ainda precisa de atenção, apesar das inovações tecnológicas.
Perdas em DeFi e Contratos Inteligentes
As falhas de segurança operacionais foram responsáveis pela maior parte das perdas, somando US$ 1,83 bilhão em plataformas de finanças descentralizadas (DeFi) e finanças centralizadas (CeFi). Um dos eventos mais impactantes do segundo trimestre foi o hack da Cetus, que resultou em US$ 223 milhões perdidos em apenas 15 minutos, representando o pior trimestre para o DeFi desde o início de 2023.
Esse ataque à Cetus explorou uma falha na verificação de overflow no cálculo de liquidez. O invasor usou uma tática conhecida como empréstimo relâmpago para abrir posições pequenas e limpar 264 pools. A Hacken sugere que, se um monitoramento em tempo real do valor total bloqueado com uma função de pausa automática tivesse sido implementado, até 90% dos fundos poderiam ter sido salvos.
A Ascensão da Inteligência Artificial nas Ameaças
A inteligência artificial e os grandes modelos de linguagem (LLMs) estão cada vez mais presentes nos ecossistemas Web2 e Web3. Embora essa integração possa trazer inovações, também amplia as superfícies de ataque, acrescentando novas ameaças.
No último ano, as explorações relacionadas à IA aumentaram em 1.025%. Dessas, 98,9% estavam ligadas a APIs inseguras. Além disso, cinco grandes vulnerabilidades foram adicionadas às listas de ameaças, e 34% dos projetos Web3 já utilizam agentes de IA em produção, tornando-se alvos atrativos para os hackers.
No entanto, as estruturas tradicionais de cibersegurança, como a ISO/IEC 27001 e o NIST Cybersecurity Framework, ainda não estão totalmente preparadas para as ameaças específicas que surgem com a IA, como alucinações de modelos e injeção de prompts. A Hacken frisa que esses padrões precisam evoluir para enfrentar os novos desafios que a IA apresenta no contexto da Web3.
