Protocolos de finanças descentralizadas (DeFi) perderam $92,5 milhões em 15 incidentes de hacking separados em abril de 2025. De acordo com o último relatório mensal da empresa de segurança blockchain Immunefi, isso representa um aumento de 27,3% em relação ao ano anterior, comparado a abril de 2024, e mais do que o dobro das perdas de março de 2025, que foram de $41,4 milhões.
Este aumento preocupante reforça um consenso crescente entre os profissionais de segurança de que a base técnica do DeFi permanece perigosamente vulnerável, apesar dos anos de explorações de alto perfil e repetidos avisos de especialistas em segurança cibernética. Os números de abril contribuem para uma estatística ainda mais preocupante: perdas totais de criptomoedas de hacks e explorações em 2025 já atingiram $1,74 bilhão - superando o total anual de 2024 de $1,49 bilhão em apenas quatro meses.
"O que estamos testemunhando não é apenas um pico temporário, mas uma crise fundamental de segurança na forma como os protocolos descentralizados são projetados, implantados e mantidos", explica Maria Chen, Pesquisadora Principal da ChainSecurity. "A indústria está construindo infraestrutura financeira cada vez mais complexa em código que não foi submetido ao mesmo rigor que os sistemas financeiros tradicionais."
As explorações de abril visaram predominantemente redes blockchain estabelecidas, com 100% dos ataques classificados como explorações técnicas, ao invés de ataques baseados em engenharia social ou fraude. Entre os 15 incidentes documentados, vários se destacam tanto pela magnitude quanto pelos vetores de ataque sofisticados empregados:
Protocolo UPCX: $70 Milhões
A maior violação do mês afetou o UPCX, um protocolo de pagamentos cross-chain que havia acumulado mais de $300 milhões em valor total bloqueado (TVL) desde seu lançamento no final de 2024. Em 12 de abril, atacantes identificaram uma vulnerabilidade crítica no mecanismo de verificação de mensagens cross-chain do protocolo.
De acordo com análise forense preliminar da empresa de inteligência blockchain Chainalysis, a exploração utilizou uma falha sutil na forma como o UPCX validava assinaturas de transações em diferentes cadeias compatíveis com EVM. Os atacantes executaram um ataque de precisão durante um período de alta congestão na rede, contornando etapas de verificação e autorizando retiradas fraudulentas de múltiplos pools de liquidez simultaneamente.
"O ataque ao UPCX demonstra como as pontes cross-chain continuam a representar algumas das infraestruturas mais vulneráveis no ecossistema", observa Thomas Walton-Pocock, fundador do Optimism Security Labs. "Apesar de numerosos exemplos históricos de explorações de pontes, desde os hacks Wormhole e Ronin de 2022, os projetos continuam a subestimar a complexidade de mensagens cross-chain seguras."
O UPCX já anunciou um plano de compensação para os usuários afetados, embora os detalhes permaneçam pendentes enquanto as investigações continuam.
KiloEx: $7,5 Milhões
A KiloEx, uma exchange descentralizada focada em negociações de opções, perdeu $7,5 milhões em 19 de abril através do que parece ser um ataque sofisticado de manipulação de oráculo de preços. O atacante aproveitou uma redução temporária de liquidez em um dos mercados de referência da KiloEx, manipulando o preço percebido dos contratos de opções KETH/ETH.
Ao primeiro baixar artificialmente o preço do oráculo por meio de uma série de negociações coordenadas em múltiplas plataformas, e então explorando o mecanismo de liquidação automatizada da KiloEx, o atacante foi capaz de comprar contratos de opções altamente descontados antes que o preço do oráculo se recuperasse.
"Os ataques a oráculos estão se tornando cada vez mais metódicos", observa Samczsun, um renomado pesquisador de segurança da Paradigm. "Os atacantes de hoje entendem a microestrutura do mercado e podem orquestrar condições que tecnicamente não violam as regras de nenhum sistema individual, mas ainda criam oportunidades de arbitragem exploráveis através de protocolos interconectados."
Outros Incidentes Significativos
As explorações restantes de abril totalizaram $15 milhões em perdas:
- Loopscale: $5,8 milhões perdidos quando atacantes exploraram uma vulnerabilidade de reentrada em seu contrato de empréstimo
- ZKsync: $5,0 milhões drenados através de uma falha em um circuito de verificação de prova de zero conhecimento
- Term Labs: $1,5 milhão roubado via valores de retorno não verificados em interações de contratos inteligentes
- Bitcoin Mission: $1,3 milhão em BTC embrulhados levados através de controles de acesso inadequados
- The Roar: $790.000 perdidos através de manipulação de empréstimos relâmpago
- Impermax: $152.000 drenados por erros de arredondamento de precisão em cálculos de recompensas
- Zora: $140.000 em ativos NFT comprometidos através de manipulação de metadados
- ACB: $84.000 perdidos devido a funções de inicialização desprotegidas
Ethereum Ainda é o Principal Alvo
A distribuição de ataques entre as redes blockchain revela vulnerabilidades persistentes mesmo em ecossistemas estabelecidos. O Ethereum permaneceu o principal alvo, respondendo por cinco incidentes (33,3% do total), enquanto a BNB Chain sofreu quatro ataques (26,7%). A Base, a solução de camada-2 da Coinbase, viu três explorações significativas (20%), marcando uma tendência preocupante para a rede relativamente nova.
"Os atacantes vão onde está o dinheiro, mas também priorizam redes com pontos de integração exploráveis", explica a Dra. Jenna Rodriguez, professora de criptografia no MIT. "O TVL dominante do Ethereum o torna um alvo perpétuo, mas estamos vendo um aumento de atenção nas redes de camada-2 como a Base, precisamente porque estão implementando tecnologia nova que não foi testada em batalha."
Os incidentes restantes afetaram Arbitrum, Solana, Sonic e ZKsync, indicando que nenhum ecossistema blockchain é imune a violações de segurança. O único incidente da Solana representa uma melhoria notável em comparação com anos anteriores, quando a rede sofreu múltiplas explorações de alto perfil.
Contexto Histórico
Para apreciar completamente a gravidade dos números de abril, o contexto histórico é essencial. Dados da Chainalysis e CipherTrace indicam que as perdas anuais de criptos por hacks seguiram uma trajetória preocupante:
- 2019: $370 milhões
- 2020: $520 milhões
- 2021: $3,2 bilhões
- 2022: $3,8 bilhões
- 2023: $1,7 bilhão
- 2024: $1,49 bilhão
- 2025 (Jan-Abr): $1,74 bilhão
O ritmo acelerado deste ano sugere que 2025 poderia potencialmente exceder o recorde estabelecido em 2022, quando o colapso da Terra/Luna e subsequente contágio criaram uma vulnerabilidade sem precedentes no ecossistema.
"O que é particularmente preocupante sobre a onda atual de explorações é que estão ocorrendo durante um período de estabilidade de mercado", observa Michael Lewellen, ex-líder de segurança na Aave. "Ao contrário de 2022, quando o caos do mercado e as cascatas de liquidação criaram circunstâncias excepcionais, esses ataques estão tendo sucesso contra protocolos operando em condições normais."
Q1 2025: Preparando o Terreno para o Aumento de Abril
As explorações de abril se baseiam em um primeiro trimestre já devastador. O ano começou com um dos maiores hacks individuais em criptomoedas quando a Bybit, uma grande exchange centralizada, perdeu $1,46 bilhão após hackers comprometerem várias chaves privadas de carteiras quentes. Embora tecnicamente não seja uma exploração DeFi, o incidente da Bybit destacou as fraquezas persistentes em soluções de custódia em todo o ecossistema cripto mais amplo.
Outras explorações significativas no primeiro trimestre incluíram:
- Protocolo Infini: $50 milhões perdidos através de um ataque de arbitragem complexo envolvendo múltiplas plataformas de empréstimo
- zkLend: $9,5 milhões roubados via ataque de empréstimo relâmpago que manipulou valores de colateral
- Ionic: $8,5 milhões drenados após atacantes obterem acesso a funções privilegiadas através de engenharia social
Combinados com os números de abril, esses incidentes pintam um quadro de uma indústria lutando para se proteger contra ameaças cada vez mais sofisticadas.
A Evolução dos Vetores de Ataque
Pesquisadores de segurança notaram uma evolução distinta nas metodologias de ataque ao longo de 2024 e 2025. As primeiras explorações DeFi frequentemente tinham como alvo falhas óbvias: funções administrativas desprotegidas, chaves hardcoded ou vulnerabilidades simples de reentrada. Os ataques de hoje demonstram uma complexidade significativamente maior.
"As explorações modernas de DeFi estão cada vez mais focadas nas suposições matemáticas subjacentes ao design dos protocolos em vez de erros simples de implementação", explica a Dra. Neha Narula, Diretora da Iniciativa de Moeda Digital no MIT. "Os atacantes estão encontrando casos extremos em modelos econômicos, explorando desequilíbrios temporários em múltiplos protocolos e alavancando interações sutis entre sistemas supostamente independentes."
Vetores de ataque comuns nos últimos meses incluem:
Vulnerabilidades de Provas de Zero Conhecimento
À medida que os ZK-rollups e soluções de privacidade ganham adoção, os ataques que têm como alvo suas fundações criptográficas aumentaram. A perda de $5 milhões da ZKsync em abril exemplifica como mesmo sistemas matematicamente rigorosos podem conter falhas exploráveis em sua implementação.
Explorações de Pontes Cross-Chain
Apesar de anos de alertas, os protocolos de ponte que conectam diferentes blockchains continuam vulneráveis. A perda de $70 milhões da UPCX se junta a uma longa lista de explorações de pontes, incluindo ataques históricos ao Wormhole ($320 milhões), Ronin ($620 milhões) e Nomad ($190 milhões).
Manipulação de Oráculos
Os ataques a oráculos de preços tornaram-se cada vez mais sofisticados, com atacantes orquestrando manipulações de mercado complexas através de múltiplas plataformas para distorcer temporariamente os fluxos de preços.
Ataques de Governança
Embora não prevalentes em abril, as explorações de mecanismos de governança representam uma preocupação crescente. Ataques recentes visaram sistemas de votação, permitindo que atacantes obtivessem controle de decisões através de empréstimos relâmpago ou outra acumulação temporária de recursos.
Resposta Institucional: A Indústria Adapta-se
A indústria de criptomoedas não tem sido passiva diante dos desafios de segurança crescentes. Várias respostas institucionais emergiram:
Padrões de Auditoria Melhorados
As principais empresas de auditoria como Trail of Bits, OpenZeppelin e Consensys Diligence desenvolveram metodologias mais abrangentes que se estendem além da revisão de código para incluir simulações de ataques econômicos e verificações formais. Conteúdo: verificação.
"Estamos vendo os protocolos solicitarem auditorias muito mais minuciosas do que mesmo há um ano", relata Yan Michalevsky, fundador da empresa de segurança Ottersec. "Atualmente, os projetos geralmente passam por múltiplas auditorias independentes, verificação formal onde aplicável, e simulações econômicas antes do lançamento."
Soluções de Seguro
Os protocolos de seguro on-chain como Nexus Mutual e InsurAce expandiram suas opções de cobertura, embora os prêmios tenham aumentado substancialmente em resposta à crescente frequência de sinistros. Em maio de 2025, aproximadamente $500 milhões em ativos DeFi possuem alguma forma de cobertura contra explorações — ainda representando menos de 1% do TVL total no DeFi.
Escalação de Bug Bounties
A Immunefi relata que as recompensas de bug bounties aumentaram em média 64% ano a ano, com pagamentos máximos para vulnerabilidades críticas agora regularmente excedendo $1 milhão. Em março de 2025, um hacker de chapéu branco recebeu $2.5 milhões por identificar uma vulnerabilidade crítica no Uniswap V4 — o maior pagamento de bug bounty na história das criptomoedas.
Atenção Regulatória
Órgãos reguladores em todo o mundo têm observado a crise de segurança. O framework Markets in Crypto-Assets (MiCA) da União Europeia, totalmente implementado no início de 2025, agora exige que os protocolos DeFi operando em jurisdições europeias cumpram padrões mínimos de segurança.
Nos Estados Unidos, a SEC tem usado as violações de segurança como justificativa adicional para ações de execução contra protocolos considerados como oferecendo valores mobiliários não registrados. O presidente da SEC, Gary Gensler, recentemente comentou: "A frequência desses ataques demonstra precisamente por que as proteções aos investidores precisam se estender a esses novos produtos financeiros."
Prevenção Técnica: O Caminho a Seguir
Especialistas em segurança concordam amplamente sobre várias melhorias tecnológicas necessárias para abordar as causas fundamentais das vulnerabilidades no DeFi:
Verificação Formal
As técnicas de verificação formal, que provam matematicamente a correção do código em relação às especificações, são vistas como essenciais para os componentes centrais dos protocolos. Embora exijam muitos recursos, a verificação formal pode eliminar classes inteiras de vulnerabilidades.
"A indústria precisa avançar além do modelo de auditoria e lançamento em direção a garantias de segurança matematicamente comprovadas", argumenta Manuel Araoz, fundador da Zeppelin Solutions. "Para protocolos que lidam com bilhões em fundos de usuários, nada menos do que verificação formal deve ser aceitável."
Monitoramento de Segurança Descentralizado
Sistemas de monitoramento em tempo real que podem detectar padrões de transações anômalos estão ganhando tração. Protocolos como o Forta Network fornecem monitoramento descentralizado que pode sinalizar atividades suspeitas em múltiplas cadeias, potencialmente permitindo respostas de emergência mais rápidas.
Delays e Interruptores de Circuito
Implementar atrasos obrigatórios para movimentações significativas de fundos e a suspensão automática de protocolos durante condições anômalas poderia mitigar o impacto de futuras explorações.
Frameworks de Segurança Padronizados
Vários grupos da indústria estão desenvolvendo frameworks de segurança padronizados específicos para DeFi, incluindo a DeFi Security Alliance da Open Zeppelin e o Consórcio de Segurança de Smart Contracts da Ethereum Foundation.
Equilibrando Inovação e Segurança
Os números de explorações de abril de 2025 oferecem um lembrete claro de que os desafios de segurança das criptomoedas permanecem tão urgentes quanto sempre. Com perdas acumuladas no ano de $1.74 bilhões já superando todo o ano de 2024, a indústria enfrenta um ponto de inflexão crítico.
"O desafio fundamental enfrentado pelo DeFi não é técnico - é cultural", conclui o Dr. Narula. "A indústria prioriza a velocidade da inovação sobre a segurança, e até que esse equilíbrio mude, continuaremos a ver essas manchetes."
Para que o DeFi alcance adoção mainstream e participação institucional, as práticas de segurança devem amadurecer para corresponder à enorme responsabilidade financeira que esses protocolos assumiram. A inovação sem permissão que tem alimentado a rápida evolução das criptomoedas deve ser equilibrada com práticas de segurança rigorosas apropriadas para uma infraestrutura financeira que lida com bilhões em fundos de usuários.
À medida que a indústria entra no segundo terço de 2025, todos os olhos estarão voltados para se os protocolos podem implementar medidas de segurança mais robustas sem sacrificar a abertura e a composibilidade que tornam o DeFi revolucionário. O resultado deste desafio técnico e cultural provavelmente determinará se a finança descentralizada se tornará um sistema financeiro global transformador ou continuará perpetuamente vulnerável a explorações.