A indústria cripto continua a enfrentar uma onda inédita de brechas de segurança em 2025, com mais de $3,1 bilhões em ativos digitais roubados somente no primeiro semestre do ano, de acordo com um novo relatório abrangente da empresa de segurança blockchain Hacken.
As perdas, impulsionadas principalmente por vulnerabilidades de controle de acesso, bases de código desatualizadas e uma onda crescente de explorações impulsionadas por IA, já ultrapassaram o total anual de $2,85 bilhões em 2024 - sinalizando uma crise de segurança em agravamento à medida que a adoção do Web3 escala globalmente.
As descobertas da Hacken destacam fraquezas estruturais persistentes nos sistemas DeFi e CeFi, especialmente em torno da segurança humana e de processos, que agora superaram as falhas criptográficas como o principal vetor de ataque. Enquanto incidentes importantes como o hack de $1,5 bilhão da Bybit em fevereiro podem ser estatisticamente atípicos, o relatório ressalta que a maioria das perdas se origina de falhas evitáveis, muitas vezes ligadas a códigos desatualizados, permissões mal configuradas ou APIs desprotegidas.
Vulnerabilidades de controle de acesso - que ocorrem quando atores não autorizados ganham controle de funções privilegiadas devido a configurações de permissão fracas - representaram cerca de 59% de todos os fundos roubados em 2025, relatou a Hacken. Isso equivale a aproximadamente $1,83 bilhões em valor perdido em dezenas de incidentes.
Essa tendência espelha 2024, onde fraquezas similares no nível de controle dominaram os dados de explorações. No entanto, a escala e a sofisticação dos ataques aceleraram em 2025, com várias intrusões em grande escala visando contratos inteligentes legados e lógicas administrativas antigas em protocolos descentralizados. “Os projetos precisam cuidar de seu código legado antigo se ele não foi completamente desativado,” disse Yehor Rudytsia, Chefe de Forense e Resposta a Incidentes na Hacken. “Muitos protocolos ainda expõem funções administrativas de versões que se pensava estarem obsoletas.”
Rudytsia apontou para o exemplo do GMX v1, onde vulnerabilidades na arquitetura de contrato legado foram ativamente exploradas no terceiro trimestre de 2025 - muito tempo depois que o protocolo transferiu o desenvolvimento para novas iterações.
Plataformas DeFi e CeFi Continuam a Perder
Juntas, as plataformas de finanças descentralizadas (DeFi) e finanças centralizadas (CeFi) experimentaram mais de $1,83 bilhões em perdas este ano devido a falhas operacionais e de segurança. O incidente mais significativo no segundo trimestre foi a exploração do protocolo Cetus, que resultou em uma perda de $223 milhões em apenas 15 minutos, tornando-se o pior trimestre para DeFi desde o início de 2023 e terminando uma tendência de cinco trimestres de declínio nos volumes de hacks.
Segundo a análise da Hacken, o atacante do Cetus utilizou uma exploração de empréstimo relâmpago que tirou vantagem de uma verificação de overflow falha em seus cálculos de pool de liquidez. Ao abrir uma série de microposições em 264 pools, o atacante sobrecarregou o sistema e drenou maciças quantidades de liquidez sem disparar mecanismos de segurança em tempo real.
“Se Cetus tivesse implementado um sistema dinâmico de monitoramento de TVL com limiares de auto-pausa, estimamos que 90% dos fundos roubados poderiam ter sido preservados,” escreveu a Hacken no relatório.
Esse incidente também alterou a distribuição dos tipos de exploração no segundo trimestre. Enquanto as falhas de controle de acesso caíram para $14 milhões - o nível mais baixo desde o segundo trimestre de 2024 - os bugs em contratos inteligentes aumentaram, indicando que, embora as falhas de permissão permaneçam dominantes a longo prazo, problemas no nível do código ainda representam riscos críticos.
IA e LLMs Introduzem Novos Vetores de Ataque
Uma das revelações mais preocupantes no relatório de 2025 da Hacken é o aumento dramático em incidentes de segurança relacionados à cripto com IA. Explorações vinculadas a grandes modelos lingüísticos (LLMs) e infraestrutura Web3 integrada com IA dispararam em impressionantes 1.025% em comparação a 2023, com a maioria dos ataques visando APIs inseguras usadas para conectar a lógica on-chain com sistemas de inteligência off-chain.
Entre os incidentes relacionados à IA analisados:
- 98,9% das brechas relacionadas à IA envolveram APIs expostas ou mal configuradas.
- Cinco novos Common Vulnerabilities and Exposures (CVEs) relacionadas a LLMs foram adicionadas em 2025.
- 34% dos projetos Web3 agora implantam agentes de IA em ambientes de produção, tornando-os alvos cada vez mais atraentes.
Esses ataques destacam a crescente sobreposição entre vulnerabilidades Web2 e infraestrutura Web3, particularmente à medida que plataformas cripto apressam-se para integrar aprendizado de máquina em bots de negociação, DAOs, sistemas de apoio ao cliente, e agentes autônomos.
“Os frameworks de segurança tradicionais estão ficando para trás,” escreveu a Hacken, referindo-se a padrões como ISO/IEC 27001 e o NIST Cybersecurity Framework, que ainda não se adaptaram para abordar ameaças específicas de IA como injeção de prompts, alucinação de modelos, e envenenamento de dados.
Rug Pulls e Golpes Permanecem um Grande Problema
Além das explorações técnicas, o espaço cripto continua a sofrer com ataques de engenharia social, esquemas de fraude, e os chamados “rug pulls” - projetos que desaparecem após atrair fundos de investidores.
Embora esses incidentes sejam mais difíceis de quantificar em termos técnicos, a Hacken estimou que perdas não técnicas, incluindo golpes, contribuíram para aproximadamente $750 milhões em fuga adicional de capital de investidores de varejo e institucionais em 2025.
O maior rug pull individual este ano envolveu um agregador de rendimento DeFi na Binance Smart Chain, onde desenvolvedores desviaram $62 milhões em fundos de usuários por meio de manipulação na lógica de contrato antes de excluir todos os canais de comunicação do projeto e sair do ar.
Lições Chave e Recomendações
O relatório da Hacken conclui com uma série de recomendações destinadas a ajudar os projetos a reduzir sua exposição ao risco em um ambiente de ameaças em rápida evolução:
- Revisões de Código Legado: Projetos devem auditar e desabilitar contratos inteligentes legados que mantenham permissões elevadas ou funções administrativas. A Hacken observou que mais de 20% dos protocolos explorados este ano ainda tinham módulos legados vulneráveis ativos.
- Controle de Acesso Dinâmico: Listas brancas rígidas ou funções somente para administradores devem ser substituídas por sistemas de múltiplas assinaturas, timelock, e baseados em papéis que se adaptem aos níveis de ameaça em mudança.
- Monitoramento em Tempo Real e Sistemas de Auto-Pausa: Implementar telemetria on-chain e alertas de movimento de TVL em tempo real para evitar drenagem rápida de fundos durante ataques de empréstimo relâmpago.
- Controles de Risco de IA: Projetos que utilizam LLMs devem estabelecer sanitização de entradas, logs de auditoria, e limitar o acesso a funções on-chain sensíveis. Frameworks de agentes de final aberto não devem ser implantados sem rigorosa lista branca de APIs e validação de respostas.
- Educação do Usuário: A segurança no nível da carteira permanece fraca. Promover o uso de carteiras de hardware, desativar assinaturas cegas, e implementar simulação de transações pode reduzir comprometimentos de chaves privadas a partir de campanhas de phishing.
Segurança Já Não É Opcional
Com a adoção de cripto se expandindo para sistemas financeiros tradicionais e infraestrutura institucional, a segurança já não é uma preocupação secundária - é fundamental para a viabilidade a longo prazo do Web3.
À medida que os atacantes evoluem de explorações técnicas para manipulação de processos e exploração de IA, a necessidade de padrões de segurança proativos, adaptativos, e abrangentes nunca foi tão urgente.
Se a tendência atual continuar, 2025 está a caminho de se tornar o ano mais custoso na história da segurança cripto, e a indústria precisará confrontar seus elos mais fracos - desde contratos inteligentes desatualizados até integrações inseguras de aprendizado de máquina.
“O cripto está entrando em uma nova era onde erro humano, mau design e exploração de IA importam mais que nunca,” concluiu Rudytsia. “Os protocolos que sobreviverem a esta era serão aqueles que tratam a segurança como um produto central, não um pensamento pós-lançamento.”