Temporadas
Placar de Líderes
Notícias
Aprender
Pesquisa
Classificação
Ecossistema
Carteira
yellow banner logo
TRADING
PLATAFORMA AO VIVO
COMEÇAR AGORA
yellow shooting stars
background stars

A crise de segurança da Web3 em 2026: por que os maiores hacks já não são apenas bugs em smart contracts

profile-alexey-bondarev
Alexey Bondarevhá 3 horas
#Web3 #DeFi #Hackers
A crise de segurança da Web3 em 2026: por que os maiores hacks já não são apenas bugs em smart contracts

A indústria cripto perdeu um recorde de US$ 3,4 bilhões em hacks em 2025, mas a história decisiva não é sobre código Solidity com bugs. É sobre laptops de desenvolvedores comprometidos, credenciais de nuvem roubadas, campanhas de engenharia social que duram meses e carteiras multisig sem timelocks.

TL;DR

  • Falhas de infraestrutura e operacionais responderam por 76% de todas as perdas em hacks de cripto em 2025, enquanto exploits de smart contracts foram apenas 12%
  • Hackers norte-coreanos patrocinados pelo Estado roubaram US$ 2,02 bilhões em 2025, cerca de 60% de todo o roubo global de cripto, usando táticas de espionagem em vez de exploração de código
  • Auditorias, bug bounties e a qualidade do código on-chain estão melhorando, mas a superfície de ataque se expandiu muito além do que essas ferramentas cobrem

Os números mostram que o problema está ficando maior, não menor

Múltiplas empresas de segurança convergem na mesma conclusão: 2025 foi o ano mais caro da história da segurança em cripto. A Chainalysis reportou US$ 3,4 bilhões em fundos roubados, alta de 55% em relação a US$ 2,2 bilhões em 2024. A CertiK documentou US$ 3,35 bilhões em 630 incidentes. Menos ataques ocorreram do que em 2024, mas o pagamento médio por incidente disparou 66,6%, para US$ 5,32 milhões.

A concentração dos dados é extrema. Os três maiores hacks de 2025 representaram 69% de todas as perdas em nível de serviço. A violação da Bybit sozinha tirou US$ 1,46 bilhão em 21 de fevereiro de 2025, representando aproximadamente 43% de todo o roubo do ano.

Se remover a Bybit, as perdas de 2025 caem para cerca de US$ 1,5 bilhão a US$ 1,9 bilhão. Ainda é elevado, mas mais próximo dos níveis de 2024.

O padrão revela um setor em que a segurança sistêmica melhorou para o protocolo médio, enquanto os riscos extremos de cauda vindos de comprometimentos de infraestrutura ficaram muito piores.

O 1º trimestre de 2025 foi o pior trimestre da história da cripto. A Immunefi acompanhou US$ 1,64 bilhão em 40 incidentes, um aumento de 4,7x em relação aos US$ 348 milhões do 1T de 2024. CeFi respondeu por 94% das perdas do 1T, impulsionada por apenas dois incidentes: Bybit e Phemex (US$ 85 milhões).

As perdas em DeFi na verdade caíram 69% ano a ano no 1T. A segurança de código on-chain realmente melhorou, mesmo enquanto a segurança operacional desabou.

Dados do início de 2026 mostram que a tendência continua. A CertiK reportou US$ 501 milhões em perdas no 1T de 2026 em 145 eventos. O hack do Drift Protocol em 1º de abril de 2026 drenou US$ 285 milhões em 12 minutos por meio de uma operação de engenharia social que durou seis meses. Ataques sofisticados focados em pessoas seguem como o principal vetor de ameaça entrando em 2026.

Leia também: Why The U.S. Treasury Is Now Sharing Cyber Threat Data With Crypto Firms

Makina Finance loses millions in Ethereum flash loan oracle exploit (Image: Shutterstock)

Bugs em smart contracts ainda importam, mas já não são toda a história

Vulnerabilidades em smart contracts permanecem a maioria dos incidentes em quantidade, respondendo por 54,5% de todos os exploits. Vários hacks significativos em nível de código em 2025 e 2026 provaram que os riscos tradicionais on-chain persistem e continuam evoluindo.

O hack do Cetus Protocol (US$ 223 milhões, 22 de maio de 2025) foi um erro lógico clássico. Um overflow de inteiro em uma biblioteca matemática compartilhada chamada “integer-mate” fez com que uma checagem de overflow falhasse silenciosamente. O invasor cunhou posições maciças de liquidez a custo insignificante.

O Cetus havia sido auditado três vezes por MoveBit, OtterSec e Zellic. A auditoria da Zellic encontrou zero problemas além de itens informativos. A vulnerabilidade existia em uma dependência de terceiro, e não no código próprio do Cetus, ilustrando como ecossistemas composáveis herdam riscos de todo o seu grafo de dependências.

Outros exploits notáveis em smart contracts incluem:

  • A reentrância do GMX v1 (US$ 42 milhões, julho de 2025), provando que reentrância ainda faz vítimas por meio de variantes mais novas entre contratos
  • O exploit de arredondamento do Balancer (US$ 70 milhões a US$ 128 milhões, novembro de 2025), que acumulou pequenos erros de arredondamento ao longo de centenas de swaps em lote, em uma classe de ataque econômico que auditorias padrão não detectam
  • A violação de invariantes da Yearn Finance (US$ 9 milhões, dezembro de 2025), em que uma falha no cálculo de shares derrotou tanto ferramentas de análise estática quanto fuzzers

A distinção crítica: exploits em smart contracts tendem a produzir perdas menores por incidente. A TRM Labs calculou uma média de US$ 6,7 milhões por exploit de código, em comparação com US$ 48,5 milhões por ataque de infraestrutura. O setor ficou significativamente melhor em escrever código on-chain seguro. Mas esse progresso é ofuscado pela escala catastrófica das falhas operacionais.

Leia também: Stablecoin Volume Could Hit $1.5 Quadrillion By 2035, Chainalysis Report Shows

A camada humana: como a engenharia social virou um exploit de primeira linha em cripto

Hackers norte-coreanos patrocinados pelo Estado representam a maior ameaça individual para a indústria cripto. A Chainalysis atribuiu US$ 2,02 bilhões em roubo de cripto em 2025 a agentes da DPRK, um aumento de 51% em relação aos US$ 1,34 bilhão de 2024 e aproximadamente 60% de todo o roubo global de cripto. O total acumulado de todos os tempos chegou a US$ 6,75 bilhões até o fim de 2025.

O que torna essas operações distintas é a paciência.

O ataque ao Drift Protocol começou com apresentações em conferências no outono de 2025, avançou por meses de construção de relacionamento e incluiu o depósito de mais de US$ 1 milhão de capital próprio dos atacantes para estabelecer credibilidade. A drenagem final levou 12 minutos.

As táticas da DPRK se diversificaram bem além da invasão direta:

  • A campanha “Contagious Interview” almeja desenvolvedores por meio de falsas ofertas de emprego no LinkedIn e em boards de vagas cripto, distribuindo desafios de código trojanizados que instalam backdoors
  • Uma empresa fabricada chamada “Veltrix Capital” distribuiu pacotes npm maliciosos projetados para verificar especificamente a presença da extensão MetaMask no navegador
  • Em maio de 2025, a segurança da Kraken identificou um agente norte-coreano se candidatando a uma vaga de engenharia usando o pseudônimo “Steven Smith”, com mudanças de voz durante a entrevista sugerindo orientação em tempo real
  • O programa de infiltração de trabalhadores de TI gera de US$ 250 milhões a US$ 600 milhões anuais, segundo estimativas da ONU, com ZachXBT descobrindo uma rede de 390 contas gerando cerca de US$ 1 milhão por mês

A violação da Coinbase (maio de 2025) demonstrou uma abordagem diferente de engenharia social. Terceirizados de suporte ao cliente no exterior, subornados, exfiltraram dados pessoais de 69.000 usuários, permitindo golpes de phishing subsequentes com impacto estimado entre US$ 180 milhões e US$ 400 milhões. Os smart contracts nunca foram tocados.

Leia também: Cardano Defies Bearish Trend With Record Transactions And Surging Whale Interest

Chaves, multisigs e nuvem: a centralização oculta dentro da Web3

A centralização oculta da Web3 é talvez o risco sistêmico mais subestimado do setor. A Halborn encontrou em sua análise dos 100 maiores hacks de DeFi que apenas 19% dos protocolos hackeados usavam carteiras multisig e só 2,4% empregavam cold storage. Ataques off-chain responderam por 80,5% dos fundos roubados no conjunto de dados.

A Trail of Bits publicou em junho de 2025 um framework de maturidade descrevendo quatro níveis de controle de acesso a smart contracts. O Nível 1 usa uma única externally owned account, o que significa que uma única chave privada comprometida equivale a perda total. O Nível 2 usa uma multisig centralizada, mas mantém um único ponto de controle. Os Níveis 3 e 4 adicionam timelocks, separação de funções e, em última instância, imutabilidade radical.

Os hacks da Bybit, WazirX e Radiant Capital exploraram arquiteturas de Nível 2. O hack do Drift Protocol expôs outra falha de centralização: uma multisig 2-de-5 sem qualquer timelock sobre funções administrativas.

A infraestrutura de nuvem introduz mais um vetor de centralização. O hack da Resolv Labs (US$ 25 milhões, março de 2026) envolveu um comprometimento do AWS Key Management Service.

O invasor acessou o ambiente de nuvem onde uma chave de assinatura privilegiada estava armazenada e então a usou para cunhar 80 milhões de tokens de stablecoin sem lastro.

A Resolv havia passado por 18 auditorias independentes de smart contracts e mantinha um bug bounty de US$ 500.000 na Immunefi. Nenhuma dessas camadas cobria políticas de IAM da AWS.

Muitos protocolos “descentralizados” dependem inteiramente de provedores de infraestrutura centralizados para suas interfaces voltadas ao usuário. O frontend da Safe{Wallet} era hospedado em AWS S3/CloudFront sem hashing de Subresource Integrity para detectar modificação de código. Essa lacuna permitiu o ataque à Bybit.

Leia também: [Bloomberg Strategist Predicts Tether Will ] Ultrapassar tanto o Bitcoin quanto o Ethereum em valor de mercado](https://yellow.com/news/tether-market-cap-outlook-surpass-bitcoin-ethereum)

O problema do frontend: quando os usuários são hackeados antes mesmo da blockchain ser tocada

Uma categoria crescente de ataques tem como alvo os frontends web de protocolos DeFi, em vez de seus contratos on-chain. Em todos os casos documentados, os smart contracts permaneceram seguros e operacionais. A vulnerabilidade estava inteiramente na camada de infraestrutura Web2 que conecta os usuários a esses contratos.

A Curve Finance sofreu um sequestro de DNS em 12 de maio de 2025, quando invasores obtiveram acesso ao registrador de domínio iwantmyname e modificaram a delegação de DNS para redirecionar o tráfego para um site estático malicioso de isca.

Durante a interrupção do frontend, os smart contracts da Curve processaram mais de US$ 400 milhões em volume on-chain, demonstrando que os contratos funcionaram perfeitamente enquanto o frontend era armado.

Esse foi o segundo ataque de DNS à Curve através do mesmo registrador. A Curve subsequentemente migrou para o domínio curve.finance e passou a advogar pela adoção de ENS pela indústria.

Aerodrome e Velodrome (21 de nov. de 2025) perderam aproximadamente US$ 700.000 quando o sequestro de DNS redirecionou usuários para sites de phishing. MetaMask e Coinbase Wallet exibiram avisos em até dois minutos após a primeira transação maliciosa, mas os usuários que interagiram antes dos avisos perderam fundos.

Ataques adicionais de DNS atingiram a Arrakis Finance (jan. 2025), OpenEden (fev. 2026) e Neutrl (mar. 2026).

O ataque à Neutrl foi confirmado como originado em um ataque de engenharia social contra o próprio provedor de DNS.

O padrão é consistente: comprometer o registrador de domínio, modificar os registros de DNS, redirecionar usuários para um clone de phishing, colher aprovações de carteira e drenar ativos. Registradores de domínio funcionam como pontos únicos de falha centralizados para protocolos nominalmente descentralizados.

Veja também: Cloudflare Follows Google, Sets 2029 Deadline To Go Quantum-Proof

Network reverses blockchain rollback decision following developer backlash over $3.9 million exploit (Image: Shutterstock)

Por que auditorias não são mais suficientes

Auditorias padrão de smart contracts cobrem vulnerabilidades em nível de código: reentrância, overflow, bugs de controle de acesso e padrões de vulnerabilidade conhecidos.

Normalmente não abrangem segurança de frontend e UI, infraestrutura de API e backend, gestão de chaves administrativas, vetores de engenharia social, ataques à cadeia de suprimentos em dependências, segurança de DNS e domínios, ou correção do modelo econômico.

A Trail of Bits afirmou explicitamente em jun. de 2025 que ataques a chaves privadas são um vetor emergente que auditorias e competições de smart contracts com escopo estreito deixam escapar com frequência. A empresa observou que firmas de auditoria nativas de blockchain raramente sinalizam problemas arquiteturais de controle de acesso como achados formais.

As evidências são extensas:

  • O Cetus Protocol passou por três auditorias de empresas renomadas antes de perder US$ 223 milhões devido a um bug em uma biblioteca de matemática de terceiros
  • A Resolv Labs passou por 18 auditorias independentes antes de perder US$ 25 milhões por meio de um comprometimento de infraestrutura na AWS
  • O provedor de carteira da Bybit, Safe{Wallet}, foi amplamente auditado, mas a vulnerabilidade estava em um laptop de desenvolvedor comprometido
  • O exploit de arredondamento da Balancer acumulou erros de arredondamento sub-wei em sequências de swaps em lote adversariais, uma classe de ataque que testes padrão por operação não conseguem detectar

As auditorias continuam valiosas. Protocolos não auditados enfrentam aproximadamente 70% de chance de exploração em seu primeiro ano, contra 15% a 20% para protocolos auditados. Mas a dependência da indústria em “auditado por X” como certificação de segurança caracteriza de forma fundamentalmente equivocada o que as auditorias realmente validam. Elas são retratos pontuais de correção de código, não avaliações abrangentes de segurança.

Veja também: Bitcoin Can Be Made Quantum-Safe Without An Upgrade, But There's A Catch

Como é um design mais seguro após a onda de hacks de 2026

Vyper, a linguagem de smart contracts Pythônica criada por Vitalik Buterin em 2017, incorpora uma filosofia de segurança pela simplicidade que contrasta fortemente com a riqueza de recursos do Solidity. O Vyper exclui deliberadamente herança, modificadores, sobrecarga de operadores e assembly inline.

Ele oferece verificação automática de overflow, decoradores antirreentrância embutidos, arrays com limites validados e tipagem estrita.

Mais de 7.959 contratos em Vyper atualmente protegem mais de US$ 2,3 bilhões em valor total bloqueado.

A linguagem enfrentou sua própria crise de segurança em jul. de 2023, quando uma vulnerabilidade na proteção de reentrância em versões antigas do compilador possibilitou o exploit contra a Curve Finance. A resposta foi sistemática: 12 auditorias com empresas incluindo ChainSecurity e OtterSec, dois especialistas em segurança contratados em tempo integral, dois programas de bug bounty e um sistema de monitoramento de contratos indexando 30.000 contratos em 23 redes.

O desenvolvimento permaneceu ativo em 2025 e 2026. A versão 0.4.2 “Lernaean Hydra” (mai. 2025) notavelmente proibiu chamadas a funções nonreentrant a partir de funções nonreentrant, eliminando toda uma classe de potenciais vulnerabilidades.

Grandes adotantes incluem Curve Finance, Yearn Finance V3 e Velodrome/Aerodrome.

A filosofia de design do Vyper, de que os recursos que você remove importam mais do que os recursos que você adiciona, está alinhada com o consenso de segurança emergente. Quando os vetores de ataque dominantes são humanos e operacionais, em vez de em nível de código, uma linguagem que produz código mais legível e auditável oferece vantagens estruturais reais.

Veja também: Only 10% Of New CEX Tokens Survive Their First Year, CoinGecko Data Reveals

Cultura de segurança vs teatro de segurança na Web3

Bug bounties emergiram como uma das defesas mais custo-efetivas. A Immunefi pagou mais de US$ 112 milhões em recompensas totais em mais de 3.000 relatórios de bugs validados. Relatórios de severidade crítica respondem por 87,8% de todos os pagamentos. A plataforma afirma ter protegido mais de US$ 190 bilhões em fundos de usuários.

A economia faz um caso convincente. As recompensas totais já pagas (US$ 112 milhões) representam cerca de 3,3% apenas das perdas com hacks em 2025. Mesmo um único exploit prevenido geraria um ROI enorme. Programas ativos de recompensa agora atingem escala significativa, com a Usual oferecendo máximo de US$ 16 milhões na Sherlock e a Uniswap v4 oferecendo US$ 15,5 milhões na Immunefi.

Plataformas competitivas de auditoria evoluíram ao lado dos bounties tradicionais. A Code4rena realiza competições com 16.600 pesquisadores registrados e cerca de 100 participantes por auditoria.

A Sherlock opera um modelo de ciclo de vida completo combinando competições de auditoria, bug bounties e cobertura de seguro, tendo protegido mais de US$ 100 bilhões em valor total bloqueado.

No entanto, bug bounties compartilham uma limitação fundamental com as auditorias. Dados da Immunefi mostram que 77,5% dos pagamentos vão para descobertas de bugs em smart contracts. Os vetores de ataque mais danosos de 2025, incluindo comprometimentos de cadeia de suprimentos, engenharia social e violações de infraestrutura, ficam em grande parte fora do escopo do que pesquisadores de bounty podem testar.

A indústria precisa de estruturas de incentivo equivalentes para avaliação de segurança operacional. Revisão de código por si só não acompanha mais a origem real das perdas.

Veja também: Gemini Survey Reveals 51% Of Gen Z Adults Worldwide Own Crypto

O que usuários, builders e investidores devem fazer de diferente em 2026

Os dados de 2025 e 2026 deixam claro que a segurança deve ir muito além de auditorias de smart contracts para abranger toda a pilha operacional.

Para builders de protocolos, a postura mínima viável de segurança agora inclui:

  • Carteiras multisig com timelocks em todas as funções administrativas
  • Controle de acesso baseado em papéis com princípio de menor privilégio
  • Assinatura com hardware wallet para todas as operações privilegiadas
  • Monitoramento contínuo de mudanças de permissões, upgrades e transferências de alto valor
  • Hashing de Subresource Integrity para todo o código de frontend, além de DNSSEC e consideração de alternativas hospedadas em ENS aos registradores de domínios centralizados

A segurança da cadeia de suprimentos exige fixar dependências, limitar a proliferação de pacotes, travar pipelines de CI/CD com credenciais de curta duração e verificar artefatos de release. Planos de resposta a incidentes devem ser testados com simulações, não apenas escritos e engavetados.

Para usuários, as defesas práticas são simples. Hardware wallets continuam essenciais para qualquer volume significativo de ativos. Ferramentas de simulação de transações como a Pocket Universe afirmam ter 180.000 usuários e mais de US$ 1 bilhão em fundos protegidos.

Revogar regularmente aprovações ilimitadas de tokens, salvar nos favoritos URLs confiáveis em vez de seguir links, e manter carteiras separadas reduzem o raio de impacto de uma única assinatura comprometida.

A lição de assinatura às cegas do hack da Bybit se aplica também a indivíduos. Sempre verifique os detalhes da transação no próprio dispositivo de assinatura, não apenas na interface que solicita a assinatura.

Para investidores que avaliam protocolos, o rótulo “auditado por X” é necessário, mas radicalmente insuficiente. Indicadores de segurança significativos incluem múltiplas auditorias por empresas diversas, programas ativos de bug bounty com recompensas significativas, configurações transparentes de multisig com distribuição geográfica, timelocks em upgradesfunções visíveis on-chain e capacidade de resposta a incidentes demonstrada.

A ausência desses indicadores deve funcionar como um sinal de alerta explícito, independentemente do histórico de auditoria.

Also Read: From Joke To ETF? PEPE's Wall Street Moment Raises Big Questions

Conclusão

O panorama de segurança cripto de 2025 e 2026 revela um paradoxo. A tecnologia está se tornando mais segura enquanto a indústria perde mais dinheiro do que nunca.

As perdas por exploits em contratos inteligentes diminuíram à medida que a qualidade do código on-chain melhora, graças a ferramentas melhores, mais auditorias, plataformas de revisão competitivas e linguagens de programação voltadas para segurança, como a Vyper. Mas esse progresso foi superado por uma rápida escalada em ataques de infraestrutura e operacionais.

Modelos de segurança baseados apenas em revisão de código agora cobrem cerca de 12% da exposição real a perdas. Os 88% restantes estão em laptops de desenvolvedores, credenciais da AWS, registradores de domínio, dispositivos de signatários de multisig, processos de contratação de funcionários e pipelines de implantação de frontends. Esses são problemas de Web2 que exigem defesas de Web2 aplicadas a organizações Web3 que muitas vezes não têm a cultura institucional de segurança necessária para implementá-las.

Os protocolos que sobreviverem à próxima onda de ataques patrocinados por Estados serão aqueles que protegerem não apenas seu código, mas também suas pessoas, sua infraestrutura e suas suposições de confiança como um sistema conectado. Qualquer coisa menos do que isso é teatro de segurança disfarçado de marca de descentralização.

Read Next: The U.S. Is Redefining Stablecoins — Here's What The New Rules Do

Isenção de responsabilidade e aviso de risco: As informações fornecidas neste artigo são apenas para fins educacionais e informativos e são baseadas na opinião do autor. Elas não constituem aconselhamento financeiro, de investimento, jurídico ou tributário. Ativos de criptomoedas são altamente voláteis e sujeitos a alto risco, incluindo o risco de perder todo ou uma quantia substancial do seu investimento. Negociar ou manter ativos cripto pode não ser adequado para todos os investidores. As opiniões expressas neste artigo são exclusivamente do(s) autor(es) e não representam a política oficial ou posição da Yellow, seus fundadores ou seus executivos. Sempre conduza sua própria pesquisa minuciosa (D.Y.O.R.) e consulte um profissional financeiro licenciado antes de tomar qualquer decisão de investimento.
Artigos de pesquisa relacionados
Maiores Exploits em Cripto de 2025–2026: o que deu errado de verdade
Visão geral dos maiores hacks cripto de 2025–2026, como ocorreram e o que revelam sobre riscos de confiança concentrada.
Por que exploits em DEX custaram US$ 3,1 bi em 2025: análise de 12 grandes ataques
Oct 27, 2025
Análise de 12 exploits em DEX em 2025 e perdas de US$ 3,1 bi. Por que protocolos auditados falham, como atacantes exploram código e próximos passos.
Qual Carteira EVM Você Deve Usar em 2025? As 13 Melhores Opções Seguras, Multi-Cadeia e Amigáveis para Iniciantes
O ecossistema EVM cresceu exponencialmente até 2025, e carteiras cripto tornaram-se essenciais no uso do Web3. O número de carteiras ativas...
Fraudes Cripto em 2025 Batem Recordes Históricos: De Deepfakes no YouTube a Golpes de "Engorda e Abate"
Em 2025, os golpes de criptomoeda atingiram níveis sem precedentes de sofisticação e escala, aproveitando o entusiasmo e a ganância.
A Economia Oculta da “Fazenda” de Giveaways de Memecoins
Como taxas baixas na Solana impulsionam giveaways de memecoins que alimentam algoritmos, criam provas sociais e ampliam riscos de golpes e drenos.
A crise de segurança da Web3 em 2026: por que os maiores hacks já não são apenas bugs em smart contracts | Yellow.com