Plataformas de criptomoedas perderam US$ 127 milhões para hackers em setembro de 2025, marcando uma queda de 22% em relação ao mês anterior, mas continuando o que pesquisadores de segurança descrevem como um dos piores anos da indústria para roubos digitais.
O que Saber:
- Setembro viu aproximadamente 20 grandes explorações de criptomoedas totalizando US$ 127 milhões, em comparação com US$ 163 milhões em agosto, mas ainda representando vulnerabilidades significativas no setor.
- A maior violação individual envolveu a UXLINK, que perdeu US$ 44 milhões através de manipulação de carteiras e ataques de cunhagem de tokens na Arbitrum.
- Mais de US$ 3,1 bilhões em criptomoedas foram roubados apenas no primeiro semestre de 2025, superando todas as perdas de 2024 e destacando falhas de segurança persistentes.
Grandes Violações Alvejam Várias Plataformas
PeckShield, uma empresa de segurança blockchain, identificou cerca de 20 explorações significativas de criptomoedas no mês passado. A queda dos números de agosto ofereceu pouco conforto aos analistas que acompanham as crescentes perdas do setor.
UXLINK sofreu a maior violação do mês, com US$ 44 milhões. Os atacantes primeiro atingiram o projeto social Web3 em 22 de setembro, visando sua carteira multi-assinatura para retirar os controles administrativos e drenar US$ 11,3 milhões. O ataque continuou enquanto os hackers cunhavam bilhões de novos tokens UXLINK na rede Arbitrum, quase dobrando a oferta circulante. O preço do token colapsou mais de 70%. Bolsas como a Upbit congelaram alguns ativos, mas a maioria dos fundos roubados permaneceu em carteiras controladas por atacantes.
SwissBorg, uma plataforma suíça de gerenciamento de riqueza, registrou perdas de aproximadamente US$ 41,5 milhões através de um comprometimento da cadeia de suprimentos. Hackers exploraram a Kiln, um provedor terceirizado de operações de staking da Solana.
A violação permitiu que atacantes controlassem quase 193.000 SOL ao ocultar código malicioso dentro do que parecia ser transações rotineiras de descompromisso.
Uma operação de phishing visou a plataforma de empréstimos Venus em 2 de setembro, resultando em aproximadamente US$ 13 milhões em perdas. A vítima juntou-se ao que acreditava ser uma reunião legítima no Zoom, o que permitiu que atacantes comprometesse seu dispositivo e modificasse credenciais da carteira. A Venus suspendeu operações temporariamente e liquidou as posições do atacante para recuperar os ativos roubados.
Incidentes adicionais em setembro incluíram uma exploração de US$ 7,6 milhões do protocolo de stablecoin Yala e uma violação de US$ 3 milhões na GriffAI.
Compreendendo Vulnerabilidades de Segurança Cripto
Carteiras multi-assinatura requerem várias chaves privadas para autorizar transações, distribuindo teoricamente a responsabilidade de segurança entre várias partes. Quando atacantes comprometem esses sistemas, tipicamente ganham controle através de engenharia social ou explorando falhas em como as permissões administrativas são estruturadas.
Ataques à cadeia de suprimentos visam provedores de serviços terceiros confiáveis em vez da plataforma principal. Essas violações se mostram particularmente prejudiciais porque os usuários assumem que seus fundos permanecem seguros ao trabalhar com intermediários estabelecidos. Esquemas de phishing dependem de enganar usuários para revelar credenciais ou conceder acesso através de comunicações falsas que imitam interações comerciais legítimas.
Ataques de cunhagem de tokens exploram vulnerabilidades no código de contratos inteligentes para criar novos tokens não autorizados, diluindo as participações existentes e despencando os preços de mercado. A técnica se tornou cada vez mais comum à medida que atacantes identificam plataformas com processos de revisão de código inadequados.
Ano Aponta Atividade Criminosa Recorde
O declínio em setembro proporcionou alívio mínimo em um ano que pesquisadores de segurança já consideram entre os piores da indústria. A Hacken, outra empresa de segurança blockchain, relatou que ladrões roubaram mais de US$ 3,1 bilhões em criptomoedas durante o primeiro semestre de 2025. Esse número superou o total de 2024 que foi de US$ 2,85 bilhões. A violação da exchange Bybit no primeiro trimestre representou US$ 1,5 bilhão dessas perdas através do que analistas chamaram de falhas massivas no controle de acesso.
Especialistas em segurança identificaram dois problemas persistentes que impulsionam as perdas. Atacantes continuam explorando backdoors e pontos de acesso privilegiados que equipes de desenvolvimento deixam passar durante revisões de segurança. Usuários permanecem vulneráveis a táticas de engenharia social que ignoram completamente salvaguardas técnicas. Analistas da indústria alertaram que, sem investimentos substanciais em sistemas de controle de acesso, auditorias de segurança independentes e programas de educação para usuários, a redução temporária dos roubos em setembro pode revelar-se insignificante. A trajetória do ano sugere que a atividade criminosa que visa plataformas de criptomoeda continuará a estabelecer recordes.
Considerações Finais
O setor de criptomoedas enfrenta desafios crescentes de segurança apesar do modesto declínio de roubos em setembro. Vulnerabilidades persistentes nos controles de acesso e o sucesso contínuo de ataques de engenharia social indicam problemas sistêmicos que melhorias temporárias não podem mascarar.