Os hacks em cripto em 2025 e início de 2026 excederam todos os recordes anuais anteriores em valor em dólares, com perdas chegando a US$ 3,4 bilhões em um cenário de bugs em smart contracts, comprometimentos de cadeia de suprimentos, manipulação de oráculos, roubo de chaves e sabotagem politicamente motivada que, em conjunto, expuseram como pontos de confiança concentrados — e não apenas código ruim — continuam sendo a vulnerabilidade mais perigosa da indústria.
O estado dos hacks em cripto em 2025–2026
Os números são difíceis de contestar, embora variem conforme a metodologia.
A Chainalysis estimou que o total de cripto roubada em 2025 chegou a US$ 3,4 bilhões, tornando-o o pior ano já registrado. A TRM Labs e a TechCrunch relataram separadamente um valor de US$ 2,7 bilhões. A CertiK publicou seu total para o primeiro semestre de 2025 em US$ 2,47 bilhões em 344 incidentes, já superando o total de perdas líquidas de 2024 inteiro, de US$ 1,98 bilhão.
Para contexto, a TRM Labs havia calculado que US$ 2,2 bilhões foram roubados ao longo de todo 2024. Isso significa que apenas os primeiros seis meses de 2025 superaram o ano anterior inteiro.
O que torna esse período distinto não é o número de incidentes. É a concentração.
A Immunefi relatou que o primeiro trimestre de 2025 foi o pior trimestre para hacks em cripto na história, com US$ 1,64 bilhão perdido em apenas 40 eventos — um aumento de 4,7x em relação ao primeiro trimestre de 2024. Dois incidentes sozinhos, Bybit e Cetus, responderam por cerca de US$ 1,78 bilhão, ou 72% do total do primeiro semestre da CertiK.
As categorias de ataque não mudaram muito. Exploits em smart contracts, manipulação de oráculos, comprometimento de chaves privadas, falhas operacionais em exchanges e ciberataques patrocinados por Estados continuam presentes. O que mudou foi a escala. O tamanho médio dos hacks dobrou no primeiro semestre de 2025 em comparação com o mesmo período do ano anterior, e o dano passou a se concentrar em um punhado de eventos catastróficos.
O fio condutor que liga os piores casos abaixo não é a complexidade. É a confiança — concentrada em chaves únicas, fornecedores únicos, estruturas únicas de governança ou locais únicos de liquidez.
Leia também: Trump's 48-Hour Iran Warning: What It Did To BTC, ETH And XRP
Resolv: como um mint sem lastro transformou uma stablecoin em crise de balanço
Em 22 de março de 2026, um invasor comprometeu uma chave privada privilegiada armazenada no AWS Key Management Service da Resolv e a utilizou para autorizar duas operações de mint extremamente infladas na stablecoin USR do protocolo.
A primeira criou 50 milhões de USR contra um depósito de cerca de US$ 100.000 em USDC (USDC). A segunda cunhou outros 30 milhões.
Ao todo, cerca de 80 milhões de tokens sem lastro entraram em circulação. A chave de mint era uma única conta externamente controlada — não uma multisig — e o contrato não tinha limites máximos de mint, verificações de oráculo ou validação de valor.
O invasor converteu o USR cunhado via wstUSR e stablecoins em aproximadamente 11.400 Ether (ETH), no valor de cerca de US$ 24 milhões a US$ 25 milhões. O preço do USR despencou para apenas US$ 0,025 na Curve Finance em 17 minutos — uma queda de 97,5%.
O que torna exploits em stablecoins particularmente danosos é que eles expõem instantaneamente se o colateral é real ou frágil.
O pool de colateral original do protocolo, de cerca de US$ 95 milhões, permaneceu tecnicamente intacto, mas, com 80 milhões de novos tokens sem lastro em circulação, a Resolv ficou com aproximadamente US$ 95 milhões em ativos contra cerca de US$ 173 milhões em passivos. Protocolos DeFi como Aave, Morpho, Euler, Venus e Fluid tomaram medidas de precaução para isolar sua exposição.
A reação em cadeia — exploit, venda forçada, descolamento do peg, déficit de passivos, pânico — ocorreu em menos de um dia.
Leia também: Bitcoin's S&P 500 Correlation Just Flashed A Crash Warning
Bybit: o mega-vazamento de US$ 1,5 bilhão que definiu o ano
Nenhum evento único na história de roubos em criptomoedas se compara, em valor em dólares, ao que aconteceu com a Bybit em 21 de fevereiro de 2025.
O investigador on-chain ZachXBT foi o primeiro a sinalizar saídas suspeitas de mais de US$ 1,46 bilhão da cold wallet de Ethereum (ETH) da exchange. O FBI depois atribuiu o roubo ao cluster TraderTraitor da Coreia do Norte, parte do Lazarus Group, e fixou o valor em cerca de US$ 1,5 bilhão.
Cerca de 401.347 ETH foram roubados. Isso superou os totais combinados dos hacks da Ronin Network e da Poly Network, anteriormente os dois maiores da história cripto.
A violação não foi uma falha no código da própria Bybit. Investigações forenses da Sygnia e da Verichains rastrearam a causa raiz para um comprometimento de cadeia de suprimentos da Safe{Wallet}, uma plataforma multisig de terceiros. Os invasores comprometeram uma máquina macOS de um desenvolvedor da Safe já em 4 de fevereiro, roubaram tokens de sessão da AWS e, em 19 de fevereiro, injetaram JavaScript malicioso na interface web da Safe.
O código era ativado apenas quando a cold wallet específica de Ethereum da Bybit iniciava uma transação. Três dos seis signatários da multisig aprovaram a transação sem detectar a manipulação.
O CEO da Bybit, Ben Zhou, confirmou que a exchange permaneceu solvente, respaldada por reservas pré-hack superiores a US$ 16 bilhões. Em 72 horas, a Bybit reabasteceu suas reservas de ETH por meio de empréstimos de emergência da Galaxy Digital, FalconX, Wintermute e Bitget. Mas, em 20 de março, cerca de 86% do ETH roubado já havia sido convertido em Bitcoin (BTC) em quase 7.000 wallets.
A lição é direta. Um venue, uma violação, um evento — e o perfil anual de perdas da indústria muda por completo. Alguns dos piores fracassos em cripto acontecem onde os usuários assumem que escala é sinônimo de segurança.
Leia também: After A $44M Hack, CoinDCX Now Faces A Fraud FIR
Cetus em Sui: como um exploit de US$ 223 milhões congelou uma DEX emblemática
Em maio de 2025, a Cetus, a maior exchange descentralizada na rede Sui (SUI), foi atingida por um exploit que drenou cerca de US$ 223 milhões de seus pools de liquidez. A causa raiz foi um bug de overflow de inteiro na biblioteca de matemática de liquidez concentrada do protocolo.
Uma função comparava valores com um limite errado em um bit, permitindo que o invasor depositasse um único token e recebesse posições de liquidez no valor de milhões.
Validadores da Sui tomaram a medida extraordinária de congelar cerca de US$ 162 milhões de fundos roubados on-chain, movimento aprovado em votação de governança com 90,9% de apoio. Cerca de US$ 60 milhões já haviam sido bridged para o Ethereum antes do congelamento.
A Cetus retomou as operações após 17 dias de paralisação, reabastecendo os pools com fundos recuperados, US$ 7 milhões de suas reservas de caixa e um empréstimo de US$ 30 milhões em USDC da Sui Foundation.
Quando um venue de liquidez emblemático quebra, toda a credibilidade da chain sofre. Preços de tokens, reputação da rede, confiança de usuários e a necessidade de intervenção emergencial por atores do ecossistema — o raio de explosão se estende muito além do próprio protocolo.
Leia também: Brazil Freezes Crypto Tax Rules
GMX: por que um grande venue de perpétuos ainda perdeu mais de US$ 42 milhões
Em julho de 2025, o GMX foi explorado em mais de US$ 42 milhões por meio de uma vulnerabilidade de reentrância entre contratos em sua implantação V1 na Arbitrum. A função responsável por executar ordens de redução aceitava um endereço de smart contract como parâmetro em vez de exigir uma wallet padrão.
Durante a etapa de reembolso em ETH, a execução passava para o contrato malicioso do invasor, permitindo reentrância que manipulava dados internos de preço para cerca de 57 vezes abaixo do preço real de mercado.
O GMX ofereceu uma recompensa white hat de 10%, no valor de cerca de US$ 5 milhões, com prazo de 48 horas e uma ameaça de ação legal. O invasor devolveu aproximadamente US$ 37,5 milhões a US$ 40,5 milhões em parcelas, mantendo a recompensa. A GMX posteriormente completed um plano de compensação de US$ 44 milhões para os detentores de GLP afetados.
O fato de que os fundos foram devolvidos não significa que o sistema funcionou. A narrativa de “white hat”, ofertas de recompensa e recuperação parcial podem suavizar a reação do mercado sem remover a falha de segurança subjacente.
A vulnerabilidade havia sido ironicamente introduzida em 2022 durante a correção de um bug anterior. A GMX V2 não foi afetada.
Also Read: Bitcoin Drops In Hours After Trump Threatens Iran Power Plants
Nobitex: Quando um Hack Cripto se Torna Guerra Geopolítica
Em jun. de 2025, a Nobitex, a maior corretora de criptomoedas do Irã, foi hacked em aproximadamente US$ 90 milhões em múltiplas blockchains, incluindo Bitcoin (BTC), Ethereum, Dogecoin (DOGE), XRP (XRP), Solana (SOL), Tron (TRX) e TON (TON).
O grupo de hackers pró-Israel Gonjeshke Darande, também conhecido como Predatory Sparrow, claimed a responsabilidade.
O ataque ocorreu durante hostilidades militares ativas entre Israel e Irã.
Não se tratou de um roubo com motivação financeira. Os fundos roubados foram sent para endereços “burner” personalizados contendo mensagens anti-IRGC, sem chaves privadas recuperáveis — efetivamente queimando US$ 90 milhões como declaração política.
No dia seguinte, os atacantes released publicamente todo o código-fonte da Nobitex, documentação de infraestrutura e pesquisas internas sobre privacidade.
Alguns hacks cripto não são ataques para maximizar lucro. São sabotagem, sinalização ou guerra cibernética. Isso os torna diferentes de exploits de protocolo em praticamente todas as dimensões: motivação, método, consequências e impossibilidade de recuperação. A Nobitex reported uma retomada parcial das operações depois, mas o volume de transações de entrada caiu mais de 70 por cento ano a ano no início de julho.
Also Read: SBF Backs Trump's Iran Strikes From Prison
Abracadabra: O Exploit Que Atingiu Empréstimos DeFi por Meio de Caldeirões Ligados à GMX
Em 25 de mar. de 2025, um invasor drained aproximadamente 6.260 ETH — cerca de US$ 13 milhões — dos mercados de empréstimo da Abracadabra Finance, conhecidos como “cauldrons” (caldeirões). Os caldeirões-alvo usavam tokens de pool de liquidez da GMX V2 como garantia, e o exploit baseou-se em uma técnica de auto-liquidação assistida por flash loan que explorava erros de rastreamento de estado nos contratos gmCauldron.
Os fundos roubados foram bridgados da Arbitrum para a Ethereum. A PeckShield foi uma das primeiras empresas de segurança a sinalizar o incidente. A GMX confirmou que seus próprios contratos não foram afetados.
A Abracadabra ofereceu uma recompensa de bug de 20 por cento. Este foi o segundo grande hack do protocolo; um exploit de US$ 6,49 milhões havia hit a Abracadabra em janeiro de 2024.
O episódio ilustra o risco de composabilidade. Um protocolo pode parecer seguro isoladamente, mas tornar-se vulnerável por meio de integrações e dependências.
Para usuários de DeFi, o que está “debaixo do capô” — quais tipos de garantia um protocolo aceita, quais contratos externos ele chama — importa mais do que a marca de alto nível em que eles depositam.
Also Read: CFTC And SEC Align On Crypto Haircuts
Hyperliquid e JELLY: Drama de Estrutura de Mercado e Questões de Centralização
Em 26 de mar. de 2025, um invasor opened uma posição vendida de US$ 4,1 milhões no memecoin ilíquido JELLY na Hyperliquid, juntamente com duas posições compradas compensatórias, e então impulsionou o preço à vista do token em mais de 400 por cento.
Quando a posição vendida foi liquidada, o cofre automatizado HLP da Hyperliquid herdou a posição underwater, e as perdas não realizadas do cofre chegaram a aproximadamente US$ 13,5 milhões.
Os validadores da Hyperliquid então force-closed todas as posições em JELLY, liquidando ao preço de entrada original da venda, US$ 0,0095, em vez dos US$ 0,50 que oráculos externos estavam reportando.
A manobra foi executada em dois minutos e revealed que o protocolo dependia de apenas quatro validadores por conjunto.
O escândalo aqui não é apenas a perda.
A CEO da Bitget, Gracy Chen, chamou publicamente a Hyperliquid de “FTX 2.0”. O total de valor bloqueado do protocolo desabou de US$ 540 milhões para US$ 150 milhões no mês seguinte, e o token HYPE caiu 20 por cento. A Hyperliquid posteriormente upgraded para votação de validadores on-chain para decisões de deslistagem de ativos.
O que acontece quando um venue descentralizado age de forma centralizada em uma crise? Essa pergunta é útil para qualquer público de pesquisa, mesmo quando a perda em dólares é menor do que nos maiores ataques. Ela expôs uma linha de falha de credibilidade.
Also Read: Strategy Holds 3.6% Of All Bitcoin
Meta Pool: Risco de “Infinite Mint” e Por que Baixa Liquidez Pode Mascarar um Bug Maior
Em jun. de 2025, a Meta Pool suffered um exploit de contrato inteligente que permitiu a um invasor cunhar 9.705 mpETH — cerca de US$ 27 milhões — sem depositar qualquer garantia em ETH.
A vulnerabilidade estava na função de mint do ERC-4626. O invasor contornou o período normal de cooldown por meio da funcionalidade de “fast unstake” do protocolo.
Mas a perda realizada foi de apenas cerca de US$ 132.000. A liquidez fina nos pools de swap relevantes da Uniswap significou que o invasor pôde extrair apenas 52,5 ETH.
Um bot de MEV front-ran parte do ataque, extraindo cerca de 90 ETH em liquidez que depois foi devolvida ao protocolo. Os 913 ETH originalmente apostados pelos usuários permaneceram seguros com os operadores da SSV Network.
Às vezes, o bug é muito pior do que a perda realizada. O caminho de exploit neste caso implicava um dano teórico catastrófico, mas a baixa liquidez limitou a extração. Essa distinção é importante para qualquer um que avalia risco em DeFi, e dá a este caso mais profundidade do que uma simples classificação por perdas em dólar sugeriria.
Also Read: UK Set To Block Crypto Donations
Cork Protocol: Apoiado pela a16z, Ainda Assim Explorado
Em 28 de mai. de 2025, o Cork Protocol foi exploited em aproximadamente US$ 12 milhões. O invasor extraiu 3.761 wstETH explorando falhas na lógica de beforeSwap do Cork Hook e controles de acesso ausentes.
A causa raiz foi a falta de validação de entrada combinada com criação de mercado permissionless sem trilhos de segurança, o que permitiu ao invasor criar um mercado falso usando um token DS legítimo como ativo de resgate.
A Cork havia recebido investimentos da a16z crypto e da OrangeDAO em setembro de 2024.
A lição é simples. Investidores institucionais, apoio de venture capital de primeira linha e branding polido não eliminam risco técnico. Leitores não devem confundir qualidade de captação de recursos com segurança de protocolo, e auditorias — por mais completas que sejam — não são garantias. Todos os contratos foram imediatamente pausados após a detecção, mas o dinheiro já havia desaparecido.
Also Read: Early Ethereum Whale Buys $19.5M In ETH
KiloEx: Manipulação de Oráculo como uma Fragilidade Recorrente em DeFi
Em abr. de 2025, a KiloEx lost aproximadamente US$ 7 milhões a US$ 7,5 milhões nas redes Base, opBNB e BNB Smart Chain depois que um invasor explorou uma vulnerabilidade de controle de acesso no contrato MinimalForwarder da plataforma. A falha permitia que qualquer um chamasse funções de definição de preço.
O invasor manipulou o oráculo para reportar um preço absurdamente baixo para o ETH — US$ 100 — ao abrir posições alavancadas, e depois fechou a US$ 10.000.
A KiloEx offered uma recompensa “white hat” de 10 por cento, ou US$ 750.000. Quatro dias depois, o invasor devolveu todos os fundos roubados, e a KiloEx anunciou que não buscaria ação legal.
A plataforma foi retomada após uma pausa de 10 dias e published um plano de compensação para usuários cujas negociações permaneceram abertas durante a paralisação.
Este é o caso mais limpo para explicar risco de oráculo. Dados de preço ruins podem permitir que invasores abram e fechem posições em valores falsos. Muitos exploits vendidos como sofisticados ainda são construídos sobre velhos primitivos — feeds de preço ruins, suposições previsíveis, validação deficiente. A manipulação de oráculos continua sendo uma das fraquezas mais persistentes de DeFi.
Also Read: Gold's WorstSemana Desde 1983
O que o Padrão Revela
Os 10 casos acima são diferentes em mecanismo, escala e motivação. Mas eles compartilham um padrão estrutural.
Os incidentes financeiramente mais devastadores — Bybit e Resolv — não foram causados por bugs on-chain. Foram falhas em nível de infraestrutura: uma máquina de desenvolvedor comprometida em um caso, uma única chave de mint desprotegida armazenada em infraestrutura de nuvem no outro. O dano em ambos os casos foi catastrófico exatamente porque existiam pontos centralizados de confiança onde os usuários presumiam que não existiam.
Explorações em nível de protocolo como Cetus e GMX envolveram bugs de código, mas o raio de explosão foi determinado pelas respostas de governança — se os validadores podiam congelar fundos, se as negociações de recompensa (bounty) tiveram sucesso e se atores do ecossistema intervieram com financiamento de emergência.
Nobitex não foi uma exploração de protocolo em nenhum sentido significativo; foi um ato de sabotagem geopolítica.
O quadro geral não é animador. Menos incidentes não significam menos dano. A gravidade média está aumentando. Só a Coreia do Norte respondeu por mais de US$ 2 bilhões em roubos em 2025, um aumento de 51% ano a ano.
O perímetro de segurança que mais importa em cripto mudou da lógica on-chain para a infraestrutura off-chain, o gerenciamento de chaves e a segurança operacional humana.
Para usuários de varejo, investidores em tokens e equipes de protocolo, os dados sugerem a mesma conclusão. A questão deixou de ser se os contratos inteligentes de um protocolo foram auditados. A questão é onde a confiança está concentrada — e o que acontece quando ela falha.
Leia a seguir: Bitcoin Mining Difficulty Falls 7.76%