Os hacks em cripto em 2025 e no início de 2026 exceeded todos os recordes anuais anteriores em valor em dólares, com perdas chegando a US$ 3,4 bilhões em um cenário de bugs em contratos inteligentes, comprometimentos de cadeia de suprimentos, manipulação de oráculos, roubo de chaves e sabotagem com motivação política que, em conjunto, expuseram como pontos de confiança concentrada — e não apenas código ruim — continuam sendo a vulnerabilidade mais perigosa da indústria.
O estado dos hacks em cripto em 2025–2026
Os números são difíceis de contestar, embora variem conforme a metodologia.
A Chainalysis estimated que o total de cripto roubado em 2025 chegou a US$ 3,4 bilhões, tornando-o o pior ano já registrado. A TRM Labs e a TechCrunch separadamente reported um valor de US$ 2,7 bilhões. A CertiK published seu total para o primeiro semestre de 2025 em US$ 2,47 bilhões, em 344 incidentes, já superando o total anual de 2024 de US$ 1,98 bilhão em perdas líquidas.
Para contextualizar, a TRM Labs havia calculated que US$ 2,2 bilhões foram roubados ao longo de todo o ano de 2024. Isso significa que apenas os primeiros seis meses de 2025 superaram o ano anterior inteiro.
O que torna esse período distinto não é o número de incidentes. É a concentração.
A Immunefi reported que o primeiro trimestre de 2025 foi o pior trimestre da história em hacks de cripto, com US$ 1,64 bilhão perdidos em apenas 40 eventos — um aumento de 4,7 vezes em relação ao primeiro trimestre de 2024. Dois incidentes, Bybit e Cetus, responderam sozinhos por cerca de US$ 1,78 bilhão, ou 72% do total do primeiro semestre segundo a CertiK.
As categorias de ataque não mudaram muito. Exploits em contratos inteligentes, manipulação de oráculos, comprometimento de chaves privadas, falhas operacionais em exchanges e ciberataques patrocinados por Estados continuam presentes. O que mudou foi a escala. O tamanho médio dos hacks dobrou no primeiro semestre de 2025 em comparação ao mesmo período do ano anterior, e o dano passou a se concentrar em um punhado de eventos catastróficos.
O fio condutor entre os piores casos abaixo não é a complexidade. É a confiança — concentrada em chaves únicas, fornecedores únicos, estruturas de governança únicas ou venues de liquidez únicos.
Leia também: Trump's 48-Hour Iran Warning: What It Did To BTC, ETH And XRP
Resolv: como uma emissão sem lastro transformou uma stablecoin em crise de balanço
Em 22 de março de 2026, um invasor compromised a privileged private key stored in Resolv's AWS Key Management Service e a usou para autorizar duas operações de mintagem massivamente infladas na stablecoin USR do protocolo.
A primeira criou 50 milhões de USR contra um depósito de cerca de US$ 100.000 em USDC (USDC). A segunda cunhou outros 30 milhões.
No total, aproximadamente 80 milhões de tokens sem lastro entered em circulação. A chave de mintagem era uma única conta externamente controlada — não um multisig — e o contrato não possuía limites máximos de emissão, checagens de oráculo ou validação de montante.
O invasor converteu o USR emitido, via wstUSR e outras stablecoins, em aproximadamente 11.400 Ether (ETH), no valor aproximado de US$ 24 milhões a US$ 25 milhões. O preço de USR crashed para até US$ 0,025 na Curve Finance em 17 minutos — uma queda de 97,5%.
O que torna exploits em stablecoins particularmente danosos é que eles expõem instantaneamente se o colateral de backing é real ou frágil.
O pool de colateral original do protocolo, de cerca de US$ 95 milhões, permaneceu tecnicamente intacto, mas com 80 milhões de novos tokens sem lastro em circulação, a Resolv ficou com aproximadamente US$ 95 milhões em ativos contra cerca de US$ 173 milhões em passivos. Protocolos DeFi como Aave, Morpho, Euler, Venus e Fluid tomaram medidas de precaução para isolar sua exposição.
A reação em cadeia — exploit, venda forçada, perda do peg, buraco de passivos, pânico — se desenrolou em menos de um dia.
Leia também: Bitcoin's S&P 500 Correlation Just Flashed A Crash Warning
Bybit: o megavazamento de US$ 1,5 bi que definiu o ano
Nenhum evento único na história dos roubos em criptomoedas se compara, em termos de valor em dólares, ao que happened com a Bybit em 21 de fevereiro de 2025.
O investigador on-chain ZachXBT foi o primeiro a apontar saídas suspeitas de mais de US$ 1,46 bilhão da carteira fria de Ethereum (ETH) da exchange. O FBI mais tarde attributed o roubo ao cluster TraderTraitor da Coreia do Norte, parte do Lazarus Group, e fixou o valor em aproximadamente US$ 1,5 bilhão.
Cerca de 401.347 ETH foram roubados. Isso superou os totais combinados dos hacks da Ronin Network e da Poly Network, anteriormente os dois maiores da história do cripto.
A violação não foi uma falha no próprio código da Bybit. Investigações forenses da Sygnia e da Verichains traced a causa raiz a um comprometimento de cadeia de suprimentos da Safe{Wallet}, uma plataforma multisig de terceiros. Os atacantes comprometeram o macOS de um desenvolvedor da Safe já em 4 de fevereiro, roubaram tokens de sessão da AWS e, em 19 de fevereiro, injected JavaScript malicioso na interface web da Safe.
O código era ativado apenas quando a carteira fria específica de Ethereum da Bybit iniciava uma transação. Três dos seis signatários do multisig aprovaram a transação sem detectar a manipulação.
O CEO da Bybit, Ben Zhou, confirmed que a exchange permaneceu solvente, respaldada por reservas pré-hack superiores a US$ 16 bilhões. Em 72 horas, a Bybit replenished suas reservas de ETH por meio de empréstimos emergenciais da Galaxy Digital, FalconX, Wintermute e Bitget. Mas, em 20 de março, cerca de 86% do ETH roubado já havia sido convertido em Bitcoin (BTC) em quase 7.000 carteiras.
A lição é direta. Um venue, uma violação, um evento — e o perfil anual de perdas da indústria muda por completo. Alguns dos piores fracassos em cripto ocorrem onde os usuários presumem que escala é sinônimo de segurança.
Leia também: After A $44M Hack, CoinDCX Now Faces A Fraud FIR
Cetus na Sui: como um exploit de US$ 223 mi congelou uma DEX de bandeira
Em maio de 2025, a Cetus, a maior exchange descentralizada na rede Sui (SUI), foi hit por um exploit que drenou cerca de US$ 223 milhões de seus pools de liquidez. A causa raiz foi um bug de overflow de inteiro na biblioteca de matemática de liquidez concentrada do protocolo.
Uma função compared valores a um limite com um bit de diferença, permitindo que o invasor depositasse um único token e recebesse posições de liquidez no valor de milhões.
Validadores da Sui took a medida extraordinária de congelar aproximadamente US$ 162 milhões dos fundos roubados on-chain, em uma decisão aprovada por votação de governança com 90,9% de apoio. Cerca de US$ 60 milhões já haviam sido bridgeados para Ethereum antes do congelamento.
A Cetus resumed as operações após 17 dias de inatividade, reabastecendo pools com fundos recuperados, US$ 7 milhões de suas reservas em caixa e um empréstimo de US$ 30 milhões em USDC da Sui Foundation.
Quando um venue de liquidez de bandeira quebra, toda a credibilidade da chain sofre. Preços de tokens, reputação da rede, confiança dos usuários e a necessidade de intervenção emergencial por atores do ecossistema — o raio de alcance vai muito além do protocolo em si.
Leia também: Brazil Freezes Crypto Tax Rules
GMX: por que um dos principais venues de perpétuos ainda perdeu mais de US$ 42 mi
Em julho de 2025, a GMX foi exploited em mais de US$ 42 milhões por meio de uma vulnerabilidade de reentrância entre contratos em sua implantação V1 na Arbitrum. A função responsável por executar ordens de redução aceitava um endereço de contrato inteligente como parâmetro em vez de exigir uma carteira padrão.
Durante a etapa de reembolso em ETH, a execução era passada para o contrato malicioso do invasor, permitindo a reentrância que manipulava dados internos de preço para algo em torno de 57 vezes abaixo do preço real de mercado.
A GMX offered uma recompensa de white-hat de 10%, no valor de aproximadamente US$ 5 milhões, com prazo de 48 horas e uma ameaça de ação legal. O atacante devolveu aproximadamente US$ 37,5 milhões a US$ 40,5 milhões em tranches, mantendo a recompensa. A GMX posteriormente completed um plano de compensação de US$ 44 milhões para os detentores de GLP afetados.
O fato de que os fundos foram devolvidos não significa que o sistema funcionou. A narrativa de white-hat, ofertas de recompensa e recuperação parcial podem suavizar a reação do mercado sem remover a falha de segurança subjacente.
A vulnerabilidade havia sido ironicamente introduzida em 2022 durante uma correção para um bug anterior. A GMX V2 não foi afetada.
Also Read: Bitcoin Drops In Hours After Trump Threatens Iran Power Plants
Nobitex: Quando um Hack Cripto se Torna Guerra Geopolítica
Em junho de 2025, a Nobitex, a maior corretora de criptomoedas do Irã, foi hacked em aproximadamente US$ 90 milhões em múltiplas blockchains, incluindo Bitcoin (BTC), Ethereum, Dogecoin (DOGE), XRP (XRP), Solana (SOL), Tron (TRX) e TON (TON).
O grupo de hackers pró-Israel Gonjeshke Darande, também conhecido como Predatory Sparrow, claimed responsabilidade.
O ataque ocorreu durante hostilidades militares ativas entre Israel e Irã.
Não se tratou de um roubo com motivação financeira. Os fundos roubados foram sent para endereços burner de vaidade contendo mensagens anti-IRGC sem chaves privadas recuperáveis — efetivamente queimando US$ 90 milhões como uma declaração política.
No dia seguinte, os atacantes released publicamente todo o código-fonte da Nobitex, documentação de infraestrutura e pesquisas internas de privacidade.
Alguns hacks cripto não são ataques para maximizar lucro. Eles são sabotagem, sinalização ou ciber-guerra. Isso os torna diferentes de exploits de protocolos em praticamente todas as dimensões: motivação, método, consequências e impossibilidade de recuperação. A Nobitex reported uma retomada parcial das operações depois, mas os volumes de transações de entrada caíram mais de 70% ano a ano no início de julho.
Also Read: SBF Backs Trump's Iran Strikes From Prison
Abracadabra: O Exploit que Atingiu Empréstimos DeFi por Meio de Caldeirões Ligados à GMX
Em 25 de março de 2025, um atacante drained aproximadamente 6.260 ETH — cerca de US$ 13 milhões — dos mercados de empréstimo da Abracadabra Finance, conhecidos como cauldrons (caldeirões). Os caldeirões alvo usavam tokens de pool de liquidez da GMX V2 como colateral, e o exploit se baseou em uma técnica de auto-liquidação assistida por flash loan que explorava erros de rastreamento de estado dentro dos contratos gmCauldron.
Os fundos roubados foram bridged de Arbitrum para Ethereum. A PeckShield foi uma das primeiras empresas de segurança a sinalizar o incidente. A GMX confirmou que seus próprios contratos não foram afetados.
A Abracadabra ofereceu uma recompensa de bug de 20%. Este foi o segundo grande hack do protocolo; um exploit de US$ 6,49 milhões havia hit a Abracadabra em janeiro de 2024.
O episódio ilustra o risco de composabilidade. Um protocolo pode parecer seguro isoladamente, mas tornar-se vulnerável por meio de integrações e dependências.
Para usuários de DeFi, o que está debaixo do capô — quais tipos de colateral um protocolo aceita, quais contratos externos ele chama — importa mais do que a marca de alto nível em que depositam.
Also Read: CFTC And SEC Align On Crypto Haircuts
Hyperliquid e JELLY: Drama de Estrutura de Mercado e Questões de Centralização
Em 26 de março de 2025, um atacante opened uma posição short de US$ 4,1 milhões no memecoin ilíquido JELLY na Hyperliquid, junto com duas posições long compensatórias, e então impulsionou o preço spot do token em mais de 400%.
Quando a posição short foi liquidada, o cofre automatizado HLP da Hyperliquid herdou a posição underwater, e as perdas não realizadas do cofre atingiram aproximadamente US$ 13,5 milhões.
Os validadores da Hyperliquid então force-closed todas as posições em JELLY, liquidando na entrada short original do atacante de US$ 0,0095 em vez dos US$ 0,50 que oráculos externos estavam reportando.
A manobra foi executada em dois minutos e revealed que o protocolo dependia de apenas quatro validadores por conjunto.
O escândalo aqui não é apenas a perda.
A CEO da Bitget, Gracy Chen, chamou publicamente a Hyperliquid de “FTX 2.0”. O valor total bloqueado do protocolo colapsou de US$ 540 milhões para US$ 150 milhões no mês seguinte, e o token HYPE caiu 20%. A Hyperliquid depois upgraded para votação on-chain de validadores para decisões de deslistagem de ativos.
O que acontece quando um venue descentralizado age de forma centralizada em uma crise? Essa pergunta é útil para qualquer público de pesquisa mesmo quando a perda em dólares é menor do que nos maiores ataques. Ela expôs uma falha de credibilidade.
Also Read: Strategy Holds 3.6% Of All Bitcoin
Meta Pool: Risco de Mint Infinito e Por que Baixa Liquidez Pode Mascarar um Bug Maior
Em junho de 2025, a Meta Pool suffered um exploit de contrato inteligente que permitiu a um atacante cunhar 9.705 mpETH — cerca de US$ 27 milhões — sem depositar qualquer colateral em ETH.
A vulnerabilidade estava na função mint do ERC-4626. O atacante contornou o período normal de cooldown por meio da funcionalidade de fast unstake do protocolo.
Mas a perda efetiva foi de apenas cerca de US$ 132.000. A liquidez fina nos pools de swap relevantes da Uniswap significou que o atacante conseguiu extrair apenas 52,5 ETH.
Um bot de MEV front-ran parte do ataque, extraindo cerca de 90 ETH em liquidez que depois foi devolvida ao protocolo. Os 913 ETH originalmente delegados pelos usuários permaneceram seguros com os operadores da SSV Network.
Às vezes o bug é muito pior do que a perda efetiva. O caminho de exploit neste caso implicava um dano teórico catastrófico, mas a liquidez pobre limitou a extração. Essa distinção é importante para qualquer pessoa avaliando risco em DeFi, e dá a este caso mais profundidade do que um simples ranking por perdas em dólares sugeriria.
Also Read: UK Set To Block Crypto Donations
Cork Protocol: Apoiado pela a16z, Ainda Assim Explorado
Em 28 de maio de 2025, o Cork Protocol foi exploited em aproximadamente US$ 12 milhões. O atacante extraiu 3.761 wstETH explorando falhas na lógica beforeSwap do Cork Hook e controles de acesso ausentes.
A causa raiz foi uma falta de validação de entrada combinada com criação permissionless de mercados sem trilhos de proteção, o que permitiu ao atacante criar um mercado falso usando um token DS legítimo como ativo de resgate.
A Cork havia recebido investimentos da a16z crypto e da OrangeDAO em setembro de 2024.
A lição é simples. Investidores institucionais, apoio de venture capital de primeira linha e branding polido não eliminam risco técnico. Leitores não devem confundir qualidade de captação de recursos com segurança de protocolo, e auditorias — por mais extensas que sejam — não são garantias. Todos os contratos foram imediatamente pausados após a detecção, mas o dinheiro já havia sumido.
Also Read: Early Ethereum Whale Buys $19.5M In ETH
KiloEx: Manipulação de Oráculo como uma Fraqueza Recorrente em DeFi
Em abril de 2025, a KiloEx lost aproximadamente US$ 7 milhões a US$ 7,5 milhões em Base, opBNB e BNB Smart Chain depois que um atacante explorou uma vulnerabilidade de controle de acesso no contrato MinimalForwarder da plataforma. A falha permitia que qualquer um chamasse funções de definição de preços.
O atacante manipulou o oráculo para reportar um preço absurdamente baixo para ETH — US$ 100 — ao abrir posições alavancadas, e depois fechou a US$ 10.000.
A KiloEx offered uma recompensa white-hat de 10% de US$ 750.000. Quatro dias depois, o atacante devolveu todos os fundos roubados e a KiloEx anunciou que não buscaria ação legal.
A plataforma retomou após uma pausa de 10 dias e published um plano de compensação para usuários cujas operações permaneceram abertas durante a interrupção.
Este é o caso mais limpo para explicar risco de oráculo. Dados de preço ruins podem permitir que atacantes abram e fechem posições em valores falsos. Muitos exploits vendidos como sofisticados ainda são construídos sobre velhos primitivos — feeds de preço ruins, suposições previsíveis, validação fraca. A manipulação de oráculos permanece uma das fraquezas mais persistentes de DeFi.
Also Read: Gold's Worst Week Since 1983
What the Pattern Reveals
O que o padrão revela
The 10 cases above are different in mechanism, scale, and motive. But they share a structural pattern.
Os 10 casos acima são diferentes em mecanismo, escala e motivação. Mas eles compartilham um padrão estrutural.
The most financially devastating incidents — Bybit and Resolv — were not caused by on-chain bugs at all. They were infrastructure-level failures: a compromised developer machine in one case, a single unguarded minting key stored in cloud infrastructure in the other. The damage in both cases was catastrophic specifically because centralized trust points existed where users assumed they did not.
Os incidentes financeiramente mais devastadores — Bybit e Resolv — não foram causados por bugs on-chain. Eles foram falhas em nível de infraestrutura: uma máquina de desenvolvedor comprometida em um caso, uma única chave de mint desprotegida armazenada na infraestrutura em nuvem no outro. O dano em ambos os casos foi catastrófico justamente porque existiam pontos centralizados de confiança onde os usuários assumiam que não havia.
Protocol-level exploits like Cetus and GMX did involve code bugs, but the blast radius was determined by governance responses — whether validators could freeze funds, whether bounty negotiations succeeded, and whether ecosystem actors stepped in with emergency financing.
Explorações em nível de protocolo como Cetus e GMX de fato envolveram bugs de código, mas o raio de explosão foi determinado pelas respostas de governança — se os validadores podiam congelar fundos, se as negociações de recompensa tiveram sucesso e se atores do ecossistema intervieram com financiamento emergencial.
Nobitex was not a protocol exploit in any meaningful sense; it was an act of geopolitical sabotage.
Nobitex não foi uma exploração de protocolo em nenhum sentido significativo; foi um ato de sabotagem geopolítica.
The overall picture is not encouraging. Fewer incidents do not mean less damage. Average severity is increasing. North Korea alone accounted for more than $2 billion in 2025 theft, a 51 percent year-over-year increase.
O panorama geral não é animador. Menos incidentes não significam menos danos. A gravidade média está aumentando. Só a Coreia do Norte respondeu por mais de US$ 2 bilhões em roubos em 2025, um aumento de 51% ano a ano.
The security perimeter that matters most in crypto has shifted from on-chain logic to off-chain infrastructure, key management, and human operational security.
O perímetro de segurança que mais importa em cripto mudou da lógica on-chain para a infraestrutura off-chain, a gestão de chaves e a segurança operacional humana.
For retail users, token investors, and protocol teams alike, the data suggests the same conclusion. The question is no longer whether a protocol's smart contracts have been audited. The question is where the concentrated trust sits — and what happens when it breaks.
Para usuários de varejo, investidores em tokens e equipes de protocolo, os dados sugerem a mesma conclusão. A questão deixou de ser se os smart contracts de um protocolo foram auditados. A questão é onde está concentrada a confiança — e o que acontece quando ela se rompe.
Read Next: Bitcoin Mining Difficulty Falls 7.76%