A indústria de criptomoedas continua a enfrentar uma onda sem precedentes de violações de segurança em 2025, com mais de $3,1 bilhões em ativos digitais roubados somente no primeiro semestre do ano, de acordo com um novo relatório abrangente da empresa de segurança blockchain Hacken.
As perdas, impulsionadas principalmente por vulnerabilidades de controle de acesso, bases de código desatualizadas e uma crescente onda de explorações impulsionadas por IA, já superaram o total anual de $2,85 bilhões em 2024 - sinalizando uma crise de segurança em agravamento à medida que a adoção do Web3 se escala globalmente.
As descobertas da Hacken destacam fraquezas estruturais persistentes nos sistemas DeFi e CeFi, especialmente em torno da segurança no nível humano e de processos, que agora superaram as falhas criptográficas como o principal vetor de ataque. Embora incidentes importantes como o hack de $1,5 bilhão da Bybit em fevereiro possam ser outliers estatísticos, o relatório enfatiza que a maioria das perdas resulta de falhas evitáveis, frequentemente ligadas a código desatualizado, permissões mal configuradas ou APIs desprotegidas.
Vulnerabilidades de controle de acesso - que ocorrem quando atores não autorizados ganham controle de funções privilegiadas devido a configurações de permissão fracas - representaram cerca de 59% de todos os fundos roubados em 2025, relatou a Hacken. Isso equivale a aproximadamente $1,83 bilhão em valor perdido em dezenas de incidentes.
Esta tendência reflete 2024, onde fraquezas semelhantes na camada de controle dominaram os dados de exploração. No entanto, a escala e sofisticação dos ataques aceleraram em 2025, com várias intrusões em grande escala mirando contratos inteligentes legados e lógica administrativa obsoleta em protocolos descentralizados. “Os projetos precisam cuidar de seu código base antigo ou legado se não foi completamente desativado,” disse Yehor Rudytsia, Chefe de Forense e Resposta a Incidentes na Hacken. “Muitos protocolos ainda expõem funções administrativas de versões que se pensava estarem obsoletas.”
Rudytsia apontou o exemplo do GMX v1, onde vulnerabilidades na arquitetura de contratos legados foram ativamente exploradas no Q3 2025 - muito após o protocolo ter mudado o desenvolvimento para novas iterações.
Plataformas DeFi e CeFi Continuam a Sangrar
Combinadas, as plataformas de finanças descentralizadas (DeFi) e finanças centralizadas (CeFi) experimentaram mais de $1,83 bilhão em perdas este ano devido a falhas operacionais e de segurança. O incidente mais significativo no Q2 foi a exploração do protocolo Cetus, que resultou em uma perda de $223 milhões em apenas 15 minutos, tornando-o o pior trimestre de DeFi desde o início de 2023 e encerrando uma tendência de cinco trimestres de declínio nos volumes de hacks.
Segundo análise da Hacken, o atacante do Cetus usou uma exploração de empréstimo relâmpago que aproveitou uma verificação de estouro falha em seus cálculos de pool de liquidez. Ao abrir uma série de micro posições em 264 pools, o atacante sobrecarregou o sistema e drenou uma enorme liquidez sem acionar mecanismos de segurança em tempo real.
“Se o Cetus tivesse implementado um sistema dinâmico de monitoramento de TVL com limites de pausa automática, estimamos que 90% dos fundos roubados poderiam ter sido preservados,” escreveu a Hacken no relatório.
Este incidente também alterou a distribuição dos tipos de exploração para o Q2. Enquanto as falhas de controle de acesso caíram para $14 milhões - o menor nível desde o Q2 de 2024 - os bugs de contratos inteligentes dispararam, indicando que, embora as falhas de permissão permaneçam dominantes a longo prazo, questões no nível do código ainda representam riscos críticos.
IA e LLMs Introduzem Novos Vetores de Ataque
Uma das revelações mais preocupantes no relatório de 2025 da Hacken é o aumento dramático em incidentes de segurança de criptomoedas relacionados à IA. Explorações ligadas a grandes modelos de linguagem (LLMs) e infraestrutura Web3 integrada a IA dispararam em impressionantes 1.025% em comparação a 2023, com a maioria dos ataques visando APIs inseguras usadas para conectar lógica on-chain com sistemas de inteligência off-chain.
Entre os incidentes relacionados à IA analisados:
- 98,9% das violações relacionadas à IA envolveram APIs expostas ou mal configuradas.
- Cinco novas Vulnerabilidades e Exposições Comuns (CVEs) relacionadas a LLMs foram adicionadas em 2025.
- 34% dos projetos Web3 agora implantam agentes de IA em ambientes de produção, tornando-os alvos cada vez mais atraentes.
Estes ataques destacam a crescente sobreposição entre vulnerabilidades do Web2 e infraestrutura do Web3, particularmente à medida que as plataformas de criptomoedas correm para integrar aprendizado de máquina em bots de negociação, DAOs, sistemas de suporte ao cliente e agentes autônomos.
“Os frameworks de segurança tradicionais estão ficando para trás,” escreveu a Hacken, referindo-se a padrões como ISO/IEC 27001 e o NIST Cybersecurity Framework, que ainda não se adaptaram para lidar com ameaças específicas de IA como injeção de prompts, alucinação de modelos e envenenamento de dados.
Rug Pulls e Esquemas Continuam um Grande Problema
Além de explorações técnicas, o espaço de criptomoedas continua a sofrer com ataques de engenharia social, esquemas de fraude e os chamados "rug pulls" - projetos que desaparecem após atrair fundos de investidores.
Embora esses incidentes sejam mais difíceis de quantificar em termos técnicos, a Hacken estimou que perdas não-técnicas, incluindo fraudes, contribuíram para aproximadamente $750 milhões em fuga adicional de capital de investidores de varejo e institucionais em 2025.
O maior rug pull deste ano envolveu um agregador de rendimento DeFi na BNB Chain, onde desenvolvedores desviaram $62 milhões em fundos de usuários através da manipulação da lógica do contrato antes de excluir todos os canais de comunicação do projeto e ficar offline.
Lições e Recomendações Importantes
O relatório da Hacken conclui com uma série de recomendações destinadas a ajudar os projetos a reduzir sua exposição ao risco em um ambiente de ameaça que evolui rapidamente:
- Revisões de Código Base Legado: Projetos precisam auditar e desativar contratos inteligentes legados que mantêm permissões elevadas ou funções administrativas. A Hacken observou que mais de 20% dos protocolos explorados este ano tinham módulos legados vulneráveis ainda ativos.
- Controle de Acesso Dinâmico: Listas brancas rígidas ou funções de administrador apenas devem ser substituídas por sistemas baseados em multi-sign, timelock e funções que se adaptam a mudanças nos níveis de ameaça.
- Monitoramento em Tempo Real e Sistemas de Pausa Automática: Implementar telemetria on-chain e alertas de movimento de TVL em tempo real para prevenir o rápido escoamento de fundos durante ataques de empréstimos relâmpago.
- Controles de Risco de IA: Projetos que usam LLMs devem estabelecer sanitização de entrada, registros de auditoria e limitar o acesso a funções on-chain sensíveis. Estruturas de agentes abertas não devem ser implantadas sem listagem branca rigorosa de APIs e validação de resposta.
- Educação do Usuário: A segurança no nível da carteira continua fraca. Promover o uso de carteiras de hardware, desabilitar assinatura cega e implementar simulação de transações podem reduzir a comprometimento de chaves privadas das campanhas de phishing.
Segurança não é mais opcional
Com a adoção de criptomoedas se expandindo para sistemas financeiros tradicionais e infraestrutura institucional, a segurança não é mais uma preocupação secundária - é fundamental para a viabilidade de longo prazo do Web3.
À medida que os atacantes evoluem de explorações técnicas para manipulação no nível de processos e exploração de IA, a necessidade de padrões de segurança proativos, adaptativos e abrangentes nunca foi tão urgente.
Se a tendência atual continuar, 2025 está em ritmo de se tornar o ano mais caro da história da segurança de criptomoedas, e a indústria precisará confrontar seus elos mais fracos - desde contratos inteligentes desatualizados até integrações de aprendizado de máquina inseguras.
“As criptomoedas estão entrando em uma nova era onde erro humano, design ruim e exploração de IA importam mais do que nunca,” concluiu Rudytsia. “Os protocolos que sobreviverem a essa era serão aqueles que tratarem a segurança como um produto central, não como um pensamento tardio pós-lançamento.”