Temporadas
Quadro de Líderes
Notícias
Aprender
Pesquisa
Classificação
Ecossistema
Carteira
yellow banner logo
TRADING
PLATAFORMA JÁ DISPONÍVEL
COMEÇAR AGORA
yellow shooting stars
background stars

A crise de segurança da Web3 em 2026: por que os maiores hacks já não são apenas bugs em contratos inteligentes

profile-alexey-bondarev
Alexey Bondarevhá 2 horas
#Web3 #DeFi #Hackers
A crise de segurança da Web3 em 2026: por que os maiores hacks já não são apenas bugs em contratos inteligentes

A indústria cripto perdeu um recorde de US$ 3,4 bilhões em hacks em 2025, mas a história central não é sobre código Solidity com bugs. É sobre laptops de desenvolvedores comprometidos, credenciais de nuvem roubadas, campanhas de engenharia social que duram meses e carteiras multisig sem timelocks.

TL;DR

  • Falhas de infraestrutura e operacionais geraram 76% de todas as perdas por hacks em cripto em 2025, enquanto exploits de contratos inteligentes responderam por apenas 12%
  • Hackers norte-coreanos patrocinados pelo Estado roubaram US$ 2,02 bilhões em 2025, cerca de 60% de todo o roubo global de cripto, usando táticas de espionagem em vez de exploração de código
  • Auditorias, bug bounties e a qualidade do código on-chain estão melhorando, mas a superfície de ataque se expandiu muito além do que essas ferramentas cobrem

Os números mostram que o problema está ficando maior, não menor

Múltiplas empresas de segurança convergem para a mesma conclusão: 2025 foi o ano mais caro da história da segurança em cripto. A Chainalysis reportou US$ 3,4 bilhões em fundos roubados, alta de 55% em relação aos US$ 2,2 bilhões de 2024. A CertiK documented US$ 3,35 bilhões em 630 incidentes. Menos ataques ocorreram do que em 2024, mas o pagamento médio por incidente disparou 66,6%, para US$ 5,32 milhões.

A concentração dos dados é extrema. Os três maiores hacks de 2025 representaram 69% de todas as perdas em nível de serviço. A invasão da Bybit sozinha retirou US$ 1,46 bilhão em 21 de fevereiro de 2025, representando cerca de 43% de todo o roubo do ano.

Remova a Bybit e as perdas de 2025 caem para aproximadamente US$ 1,5 bilhão a US$ 1,9 bilhão. Ainda é elevado, mas mais próximo dos níveis de 2024.

O padrão reveals um setor em que a segurança sistêmica melhorou para o protocolo médio, enquanto os riscos extremos catastróficos por comprometimento de infraestrutura pioraram muito.

O primeiro trimestre de 2025 foi o pior trimestre da história cripto. A Immunefi tracked US$ 1,64 bilhão em 40 incidentes, um aumento de 4,7x em relação aos US$ 348 milhões do primeiro trimestre de 2024. CeFi respondeu por 94% das perdas do período, impulsionada por apenas dois incidentes: Bybit e Phemex (US$ 85 milhões).

As perdas em DeFi na verdade caíram 69% ano a ano no primeiro trimestre. A segurança do código on-chain realmente melhorou, mesmo com o colapso da segurança operacional.

Dados do início de 2026 shows que a tendência continua. A CertiK reportou US$ 501 milhões em perdas no primeiro trimestre de 2026 em 145 eventos. O hack do Drift Protocol em 1º de abril de 2026 drenou US$ 285 milhões em 12 minutos por meio de uma operação de engenharia social de seis meses. Ataques sofisticados focados em pessoas continuam sendo o principal vetor de ameaça entrando em 2026.

Também leia: Why The U.S. Treasury Is Now Sharing Cyber Threat Data With Crypto Firms

Makina Finance loses millions in Ethereum flash loan oracle exploit (Image: Shutterstock)

Bugs em contratos inteligentes ainda importam, mas já não são toda a história

As vulnerabilidades em contratos inteligentes remain a maioria dos incidentes em número, respondendo por 54,5% de todos os exploits. Vários hacks significativos em nível de código em 2025 e 2026 provaram que os riscos tradicionais on-chain persistem e continuam evoluindo.

O hack do Cetus Protocol (US$ 223 milhões, 22 de maio de 2025) foi um erro lógico clássico. Um overflow de inteiro em uma biblioteca matemática compartilhada chamada “integer-mate” fez com que uma checagem de overflow falhasse silenciosamente. O invasor minted posições massivas de liquidez por custo insignificante.

O Cetus havia passado por três auditorias feitas por MoveBit, OtterSec e Zellic. A auditoria da Zellic não encontrou problemas além de itens informativos. A vulnerabilidade existia em uma dependência de terceiros, e não no próprio código do Cetus, ilustrando como ecossistemas composáveis herdam riscos de todo o seu grafo de dependências.

Outros exploits notáveis em contratos inteligentes incluem:

  • A reentrância da GMX v1 (US$ 42 milhões, jul. 2025), provando que reentrância ainda faz vítimas por meio de variantes mais novas entre contratos
  • O exploit de arredondamento da Balancer (US$ 70 milhões a US$ 128 milhões, nov. 2025), que acumulou pequenos erros de arredondamento em centenas de swaps em lote, em uma classe de ataque econômico que auditorias padrão não captam totalmente
  • A violação de invariantes da Yearn Finance (US$ 9 milhões, dez. 2025), em que uma falha no cálculo de shares derrotou tanto ferramentas de análise estática quanto fuzzers

A distinção crítica: exploits em contratos inteligentes tendem a produzir perdas menores por incidente. A TRM Labs calculated uma média de US$ 6,7 milhões por exploit de código, em comparação com US$ 48,5 milhões por ataque de infraestrutura. O setor ficou significativamente melhor em escrever código on-chain seguro. Mas esse progresso é ofuscado pela escala catastrófica das falhas operacionais.

Também leia: Stablecoin Volume Could Hit $1.5 Quadrillion By 2035, Chainalysis Report Shows

A camada humana: como a engenharia social virou um exploit de primeira linha em cripto

Hackers norte-coreanos patrocinados pelo Estado representam a maior ameaça individual para a indústria cripto. A Chainalysis attributed US$ 2,02 bilhões em roubos de cripto em 2025 a atores da DPRK, um aumento de 51% em relação aos US$ 1,34 bilhão de 2024 e aproximadamente 60% de todo o roubo global de cripto. O total acumulado de todos os tempos chegou a US$ 6,75 bilhões até o fim de 2025.

O que torna essas operações distintas é a paciência.

O ataque ao Drift Protocol began com apresentações em conferências no outono de 2025, progrediu por meses de construção de relacionamento e incluiu o depósito de mais de US$ 1 milhão de capital próprio dos invasores para estabelecer credibilidade. A drenagem final levou 12 minutos.

As táticas da DPRK se diversificaram muito além do hacking direto:

  • A campanha “Contagious Interview” targets desenvolvedores com vagas falsas no LinkedIn e em boards de emprego cripto, distribuindo desafios de código trojanizados que instalam backdoors
  • Uma empresa fabricada chamada “Veltrix Capital” distribuiu pacotes npm maliciosos desenhados especificamente para verificar a presença da extensão MetaMask no navegador
  • Em maio de 2025, a equipe de segurança da Kraken identified um agente norte-coreano se candidatando a uma vaga de engenharia usando o codinome “Steven Smith”, com mudanças de voz durante a entrevista sugerindo orientação em tempo real
  • O programa de infiltração de trabalhadores de TI gera de US$ 250 milhões a US$ 600 milhões anuais, segundo estimativas da ONU, com ZachXBT descobrindo uma rede de 390 contas gerando cerca de US$ 1 milhão por mês

A violação da Coinbase (maio de 2025) demonstrated uma abordagem diferente de engenharia social. Funcionários de suporte ao cliente no exterior foram subornados para exfiltrar dados pessoais de 69.000 usuários, possibilitando golpes de phishing subsequentes com impacto estimado entre US$ 180 milhões e US$ 400 milhões. Os contratos inteligentes nunca foram tocados.

Também leia: Cardano Defies Bearish Trend With Record Transactions And Surging Whale Interest

Chaves, multisigs e nuvem: a centralização oculta dentro da Web3

A centralização oculta da Web3 é talvez o risco sistêmico mais subestimado do setor. A Halborn found em sua análise dos 100 maiores hacks de DeFi que apenas 19% dos protocolos hackeados usavam carteiras multisig e só 2,4% empregavam cold storage. Ataques off-chain responderam por 80,5% dos fundos roubados em seu conjunto de dados.

A Trail of Bits published em junho de 2025 uma estrutura de maturidade descrevendo quatro níveis de controle de acesso a contratos inteligentes. O Nível 1 usa uma única conta externamente controlada, o que significa que uma chave privada comprometida equivale a perda total. O Nível 2 usa uma multisig centralizada, mas ainda mantém um único ponto de controle. Os Níveis 3 e 4 adicionam timelocks, separação de funções e, em última instância, imutabilidade radical.

Os hacks da Bybit, WazirX e Radiant Capital exploraram arquiteturas de Nível 2. O ataque ao Drift Protocol expôs outra falha de centralização: uma multisig 2-de-5 sem qualquer timelock em funções administrativas.

A infraestrutura de nuvem introduz ainda outro vetor de centralização. O hack da Resolv Labs (US$ 25 milhões, mar. 2026) involved um comprometimento do AWS Key Management Service.

O invasor acessou o ambiente de nuvem onde uma chave de assinatura privilegiada era armazenada e a usou para emitir 80 milhões de tokens de stablecoin sem lastro.

A Resolv havia passado por 18 auditorias independentes de contratos inteligentes e mantinha um bug bounty de US$ 500.000 na Immunefi. Nenhum desses controles cobria políticas de IAM da AWS.

Muitos protocolos “descentralizados” dependem inteiramente de provedores centralizados de infraestrutura para suas interfaces voltadas ao usuário. O frontend da Safe{Wallet} era hospedado em AWS S3/CloudFront sem hashing de Subresource Integrity para detectar modificação de código. Essa lacuna possibilitou o ataque à Bybit.

Também leia: Bloomberg Strategist Predicts Tether Will } Ultrapassar tanto o Bitcoin quanto o Ethereum em capitalização de mercado

O problema do frontend: quando os usuários são hackeados antes mesmo de a blockchain ser tocada

Uma categoria crescente de ataques tem como alvo os frontends web de protocolos DeFi, em vez de seus contratos on-chain. Em todos os casos documentados, os smart contracts permaneceram seguros e operacionais. A vulnerabilidade estava inteiramente na camada de infraestrutura Web2 que conecta os usuários a esses contratos.

A Curve Finance sofreu um sequestro de DNS em 12 de maio de 2025, quando atacantes obtiveram acesso ao registrador de domínio iwantmyname e modificaram a delegação de DNS para redirecionar o tráfego para um site estático malicioso de isca.

Durante a interrupção do frontend, os smart contracts da Curve processaram mais de US$ 400 milhões em volume on-chain, demonstrando que os contratos funcionaram perfeitamente enquanto o frontend era armado.

Este foi o segundo ataque de DNS à Curve através do mesmo registrador. A Curve posteriormente migrou para o domínio curve.finance e passou a defender a adoção do ENS pela indústria.

Aerodrome e Velodrome (21 de nov. de 2025) perderam aproximadamente US$ 700.000 quando o sequestro de DNS redirecionou usuários para sites de phishing. MetaMask e Coinbase Wallet exibiram avisos em até dois minutos após a primeira transação maliciosa, mas usuários que interagiram antes dos avisos perderam fundos.

Ataques adicionais de DNS atingiram a Arrakis Finance (jan. de 2025), OpenEden (fev. de 2026) e Neutrl (mar. de 2026).

Confirmou-se que o ataque à Neutrl teve origem em um ataque de engenharia social dirigido ao próprio provedor de DNS.

O padrão é consistente: comprometer o registrador de domínio, modificar registros de DNS, redirecionar usuários para um clone de phishing, coletar aprovações de carteira e drenar ativos. Registradores de domínio funcionam como pontos únicos centralizados de falha para protocolos nominalmente descentralizados.

Leia também: Cloudflare segue o Google e define 2029 como prazo para se tornar resistente à computação quântica

Network reverte decisão de rollback da blockchain após reação negativa de desenvolvedores a exploit de US$ 3,9 milhões (Imagem: Shutterstock)

Por que auditorias já não são suficientes

Auditorias padrão de smart contracts cobrem vulnerabilidades em nível de código: reentrância, overflow, bugs de controle de acesso e padrões de vulnerabilidades conhecidos.

Geralmente não cobrem segurança de frontend e UI, infraestrutura de API e backend, gestão de chaves administrativas, vetores de engenharia social, ataques à cadeia de suprimentos de dependências, segurança de DNS e domínios ou correção do modelo econômico.

A Trail of Bits afirmou explicitamente em jun. de 2025 que ataques a chaves privadas são um vetor emergente que auditorias e competições de smart contracts com escopo estreito regularmente deixam passar. A empresa observou que firmas de auditoria nativas de blockchain raramente sinalizam problemas arquiteturais de controle de acesso como achados formais.

As evidências são extensas:

  • O Cetus Protocol passou por três auditorias de empresas renomadas antes de perder US$ 223 milhões devido a um bug em uma biblioteca matemática de terceiros
  • A Resolv Labs passou por 18 auditorias independentes antes de perder US$ 25 milhões por meio de um comprometimento de infraestrutura na AWS
  • O provedor de carteira da Bybit, Safe{Wallet}, foi minuciosamente auditado, mas a vulnerabilidade era o laptop comprometido de um desenvolvedor
  • O exploit de arredondamento da Balancer acumulou erros de arredondamento sub-wei ao longo de sequências adversariais de batch swaps, uma classe de ataque que testes padrão por operação não conseguem detectar

As auditorias continuam valiosas. Protocolos não auditados enfrentam cerca de 70% de chance de exploração em seu primeiro ano, contra 15% a 20% para os auditados. Mas a dependência da indústria em "auditado por X" como certificação de segurança caracteriza de forma fundamentalmente equivocada o que as auditorias realmente validam. Elas são instantâneos pontuais de correção de código, não avaliações abrangentes de segurança.

Leia também: Bitcoin pode se tornar seguro contra computadores quânticos sem upgrade, mas há um porém

Como é um design mais seguro após a onda de hacks de 2026

Vyper, a linguagem de smart contracts com inspiração em Python criada por Vitalik Buterin em 2017, incorpora uma filosofia de segurança por simplicidade que contrasta fortemente com a riqueza de recursos do Solidity. O Vyper exclui deliberadamente herança, modifiers, sobrecarga de operadores e assembly inline.

Ele fornece checagem automática de overflow, decoradores nativos de não reentrância, arrays com validação de limites e tipagem estrita.

Mais de 7.959 contratos em Vyper atualmente protegem mais de US$ 2,3 bilhões em valor total bloqueado.

A linguagem enfrentou sua própria crise de segurança em jul. de 2023, quando uma vulnerabilidade em guardas de reentrância em versões mais antigas do compilador possibilitou o exploit na Curve Finance. A resposta foi sistemática: 12 auditorias com empresas incluindo ChainSecurity e OtterSec, dois especialistas em segurança contratados em tempo integral, dois programas de bug bounty e um sistema de monitoramento de contratos indexando 30.000 contratos em 23 chains.

O desenvolvimento permaneceu ativo em 2025 e 2026. A versão 0.4.2 "Lernaean Hydra" (maio de 2025) notavelmente proibiu a chamada de funções nonreentrant a partir de dentro de funções nonreentrant, eliminando uma classe inteira de vulnerabilidades em potencial.

Entre os grandes adotantes estão Curve Finance, Yearn Finance V3 e Velodrome/Aerodrome.

A filosofia de design do Vyper — de que os recursos que você remove importam mais do que os recursos que você adiciona — está alinhada com o consenso emergente de segurança. Quando os vetores de ataque dominantes são humanos e operacionais, em vez de no nível de código, uma linguagem que produz código mais legível e auditável oferece vantagens estruturais reais.

Leia também: Apenas 10% dos novos tokens listados em CEX sobrevivem ao primeiro ano, revela CoinGecko

Cultura de segurança vs teatro de segurança na Web3

Bug bounties emergiram como uma das defesas mais custo-efetivas. A Immunefi já pagou mais de US$ 112 milhões em recompensas totais por mais de 3.000 relatórios de bugs validados. Relatórios de severidade crítica respondem por 87,8% de todos os pagamentos. A plataforma afirma ter protegido mais de US$ 190 bilhões em fundos de usuários.

A economia é convincente. O total de recompensas já pagas (US$ 112 milhões) representa cerca de 3,3% apenas das perdas por hacks em 2025. Mesmo um único exploit evitado geraria um ROI enorme. Programas de recompensa ativos agora atingem escala significativa, com a Usual oferecendo um máximo de US$ 16 milhões na Sherlock e o Uniswap v4 oferecendo US$ 15,5 milhões na Immunefi.

Plataformas competitivas de auditoria evoluíram junto com bug bounties tradicionais. A Code4rena realiza competições com 16.600 pesquisadores registrados e cerca de 100 participantes por auditoria.

A Sherlock opera um modelo de ciclo de vida completo, combinando competições de auditoria, bug bounties e cobertura de seguro, tendo protegido mais de US$ 100 bilhões em valor total bloqueado.

No entanto, bug bounties compartilham uma limitação fundamental com as auditorias. Dados da Immunefi mostram que 77,5% dos pagamentos vão para descobertas de bugs em smart contracts. Os vetores de ataque mais danosos de 2025, incluindo compromissos na cadeia de suprimentos, engenharia social e violações de infraestrutura, ficam amplamente fora do escopo do que pesquisadores de bounty podem testar.

A indústria precisa de estruturas de incentivo equivalentes para avaliação de segurança operacional. Revisão de código sozinha já não acompanha a origem real das perdas.

Leia também: Pesquisa da Gemini revela que 51% dos adultos da Geração Z no mundo possuem criptoativos

O que usuários, builders e investidores devem fazer de diferente em 2026

Os dados de 2025 e 2026 deixam claro que a segurança deve ir muito além de auditorias de smart contracts e abranger toda a pilha operacional.

Para builders de protocolos, a postura mínima viável de segurança agora inclui:

  • Carteiras multisig com timelocks em todas as funções administrativas
  • Controle de acesso baseado em papéis com princípio do menor privilégio
  • Assinatura com hardware wallets para todas as operações privilegiadas
  • Monitoramento contínuo de alterações de permissão, upgrades e transferências de alto valor
  • Hashing de Subresource Integrity para todo o código de frontend, além de DNSSEC e consideração de alternativas baseadas em ENS a registradores de domínio centralizados

A segurança da cadeia de suprimentos exige fixar dependências, limitar a proliferação de pacotes, travar pipelines de CI/CD com credenciais de curta duração e verificar artefatos de release. Planos de resposta a incidentes devem ser testados com simulações, não escritos e engavetados.

Para usuários, as defesas práticas são diretas. Hardware wallets continuam essenciais para quaisquer valores significativos. Ferramentas de simulação de transações como a Pocket Universe afirmam ter 180.000 usuários e mais de US$ 1 bilhão em fundos protegidos.

A revogação regular de aprovações ilimitadas de tokens, o uso de favoritos para URLs confiáveis em vez de seguir links, e a manutenção de carteiras separadas reduzem o raio de explosão de uma única assinatura comprometida.

A lição de assinatura cega do hack da Bybit se aplica também a indivíduos. Sempre verifique os detalhes da transação no próprio dispositivo de assinatura, não apenas na interface que solicita a assinatura.

Para investidores que avaliam protocolos, o selo "auditado por X" é necessário, mas radicalmente insuficiente. Indicadores de segurança significativos incluem múltiplas auditorias de empresas diversas, programas ativos de bug bounty com recompensas expressivas, configurações transparentes de multisig com distribuição geográfica, timelocks em upgradesfunções visíveis on-chain e capacidade de resposta a incidentes demonstrada.

A ausência desses indicadores deve funcionar como um sinal de alerta explícito, independentemente do histórico de auditorias.

Also Read: From Joke To ETF? PEPE's Wall Street Moment Raises Big Questions

Conclusão

O cenário de segurança cripto de 2025 e 2026 revela um paradoxo. A tecnologia está se tornando mais segura enquanto a indústria perde mais dinheiro do que nunca.

As perdas por exploração de contratos inteligentes diminuíram à medida que a qualidade do código on-chain melhora graças a ferramentas melhores, mais auditorias, plataformas competitivas de revisão e linguagens com foco em segurança como Vyper. Mas esse progresso foi ofuscado por uma rápida escalada em ataques de infraestrutura e operação.

Modelos de segurança construídos apenas em torno de revisão de código agora abordam cerca de 12% da exposição real a perdas. Os 88% restantes vivem em laptops de desenvolvedores, credenciais da AWS, registradores de domínio, dispositivos de signatários de multisig, processos de contratação de funcionários e pipelines de implantação de frontends. Esses são problemas de Web2 que exigem defesas de Web2 aplicadas a organizações Web3 que muitas vezes carecem da cultura institucional de segurança necessária para implementá-las.

Os protocolos que sobreviverem à próxima onda de ataques patrocinados por Estados serão aqueles que protegerem não apenas seu código, mas também suas pessoas, sua infraestrutura e suas suposições de confiança como um sistema conectado. Qualquer coisa aquém disso é teatro de segurança vestido com a marca da descentralização.

Read Next: The U.S. Is Redefining Stablecoins — Here's What The New Rules Do

Disclaimer e aviso de risco: As informações fornecidas neste artigo são apenas para fins educacionais e informativos e baseiam-se na opinião do autor. Não constituem aconselhamento financeiro, de investimento, legal ou fiscal. Os ativos de criptomoeda são altamente voláteis e sujeitos a alto risco, incluindo o risco de perder todo ou uma quantia substancial do seu investimento. Negociar ou deter ativos cripto pode não ser adequado para todos os investidores. As opiniões expressas neste artigo são exclusivamente do(s) autor(es) e não representam a política oficial ou posição da Yellow, seus fundadores ou executivos. Sempre conduza a sua própria pesquisa minuciosa (D.Y.O.R.) e consulte um profissional financeiro licenciado antes de tomar qualquer decisão de investimento.
Artigos Relacionados de Pesquisa
Maiores Exploits em Cripto de 2025–2026: o que realmente deu errado
Principais exploits em cripto de 2025–2026, valores perdidos, vetores de ataque e como pontos concentrados de confiança ampliaram o risco.
Por que exploits em DEX custaram US$ 3,1 bi em 2025: análise de 12 grandes hacks
Oct 27, 2025
Visão geral dos principais exploits em DEX em 2025, mostrando como falhas de lógica e controle de acesso geraram prejuízos bilionários no DeFi.
Qual Carteira EVM Você Deve Usar em 2025? As 13 Melhores Opções Seguras, Multi-cadeia e Amigáveis para Iniciantes
Guia de 2025 sobre carteiras EVM abrange funcionalidades, dicas de segurança e melhores opções para iniciantes, traders e usuários ponta firme.
Negociação Off-Chain vs. On-Chain: O Que Está Fazendo a Cripto Migrar das CEXs para as DEXs?
DEXs ampliam participação ao combinar transparência on-chain com taxas menores em L2, enquanto riscos de custódia e segurança pressionam CEXs.
A Economia Oculta da Agricultura de Giveaways de Memecoins
Explora como giveaways de memecoins na Solana usam taxas baixas para inflar métricas, manipular algoritmos e criar riscos de segurança.
A crise de segurança da Web3 em 2026: por que os maiores hacks já não são apenas bugs em contratos inteligentes | Yellow.com