Principais ataques de criptografia de 2025: incidentes que expuseram os pontos fracos da indústria

2025 foi um grande ano para a indústria cripto, mas veio como uma faca de dois gumes quando se olha para o panorama geral.

Por um lado, a indústria amadureceu em termos de adoção institucional, com um número recorde de fusões e aquisições.

Houve 267 negócios totalizando 8,6 bilhões de dólares, tornando esse um ano lucrativo para aqueles que estavam do lado certo do negócio.

Por outro lado, as perdas por hacks e exploits atingiram um recorde, expondo o quanto o espaço ainda tem a ser alcançado no campo da segurança.

Dados de empresas de segurança como SlowMist e CertiK relataram que o número de incidentes de segurança caiu 50% ano a ano, de mais de 400 em 2024 para aproximadamente 200 em 2025.

Mas a extensão das perdas financeiras conta uma história diferente. O total de fundos roubados saltou 55% em relação ao ano anterior, ultrapassando US$ 3,4 bilhões.

Embora a higiene básica de segurança, como auditorias rotineiras de contratos inteligentes e detecção automática de bugs, esteja eliminando com sucesso os frutos mais acessíveis que hackers amadores costumavam atacar, a natureza dos ataques mudou fundamentalmente.

Atacantes modernos não estão mais lançando uma rede ampla para pequenas vulnerabilidades de protocolo.

Em vez disso, grupos profissionalizados, especialmente o Grupo Lazarus da Coreia do Norte , estão passando meses em reconhecimento e infiltração de infraestrutura para executar ataques únicos e catastróficos.

A indústria agora enfrenta uma crise de qualidade em vez de quantidade, onde há menos ataques, mas os que acontecem são muito mais prejudiciais.

Com o início de 2026, aqui está um olhar para trás de quatro dos maiores incidentes de segurança de 2025, que expuseram muitos dos pontos fracos do setor.

Bybit Exchange: US$ 1,5 bilhão

O maior incidente do ano ocorreu no exchange criptomoedas Bybit, sediado em Dubai, que se tornou o maior roubo confirmado já ligado ao grupo Lazarus, apoiado pelo Estado norte-coreano.

Atacantes passaram meses construindo confiança com um desenvolvedor da Safe{Wallet}, um dos principais provedores de infraestrutura multisig, antes de conseguirem introduzir um projeto Docker malicioso que silenciosamente estabeleceu uma porta dos fundos persistente.

Uma vez dentro, os atacantes injetaram JavaScript malicioso no código frontend da interface da carteira Safe usada pela equipe interna de assinatura da Bybit.

Enquanto os executivos da Bybit faziam login para assinar o que pareciam ser transações internas rotineiras, a interface do usuário exibia endereços e valores corretos das carteiras.

No nível do código, entretanto, o endereço de destino era silenciosamente trocado por carteiras controladas pelo atacante.

Aproximadamente US$ 1,46 bilhão a US$ 1,5 bilhão em ETH foram drenados, impactando um grande número de usuários que ficaram expostos a uma das falhas de segurança mais graves que a indústria já viu.

O incidente expôs um ponto fraco crítico da indústria em relação à confiança na interface, reforçando que carteiras de hardware e limites multisig oferecem pouca proteção se a camada de software que apresenta os detalhes da transação for comprometida.

Baleia Og Bitcoin: 330 milhões de dólares

Em abril, uma baleia do Bitcoin da era Satoshi, que mantinha suas moedas intocadas há mais de uma década, foi vítima de um devastador ataque de engenharia social que resultou na perda de 3.520 BTC, avaliados em aproximadamente 330,7 milhões de dólares na época.

O incidente ficou gravado na história como o maior roubo individual da história da indústria, como foi apresentado pelo detetive on-chain ZachXBT.

Ao contrário de ataques que visam código, este usou deepfakes alimentados por IA e clonagem de voz para burlar as defesas psicológicas da vítima ao longo de vários meses.

Os autores, suspeitos de serem um sindicato organizado operando a partir de um sofisticado call center em Camden, Reino Unido, usando pseudônimos como "Nina" e "Mo", criaram uma falsa sensação de segurança com a idosa vítima ao se passar por conselheiros jurídicos e técnicos confiáveis.

Eventualmente, os atacantes direcionaram a vítima para um portal falso de "verificação de segurança" que imitava o site oficial de suporte de um provedor de carteiras conhecido, onde a vítima foi manipulada para inserir suas credenciais privadas ou assinar uma transação específica em seu dispositivo de hardware sob o pretexto de uma "atualização de conta". Os fundos foram transferidos instantaneamente.

Os fundos foram rapidamente lavados por meio de "correntes de casca" e convertidos na moeda de privacidade Monero (XMR), causando um pico de 50% no preço do Monero devido à demanda súbita e enorme.

O incidente acabou expôs a extrema vulnerabilidade de indivíduos de alto patrimônio que não possuem serviços de custódia de nível institucional, mostrando que nenhuma quantidade de criptografia pode proteger os ativos se a camada humana for manipulada de forma eficaz.

Exploit do Protocolo Cetus: $223 milhões

O Protocolo Cetus, que é a maior central descentralizada da rede Sui, foi explorado em maio devido a uma falha técnica em sua lógica de contratos inteligentes.

O explorador identificou uma falha aritmética crítica em uma biblioteca matemática aberta compartilhada usada para cálculos de liquidez, o que permitiu drenar cerca de US$ 223 milhões em ativos de liquidez.

Especificamente, a função foi projetada para escalar com segurança números de ponto fixo, deslocando-os para a esquerda em 64 bits.

No entanto, ele continha um erro lógico na verificação de overflow. A comparação usou uma máscara grande demais, o que permitia deslocamentos bit a bit que deveriam ter sido rejeitados.

Ao usar um empréstimo flash para criar uma posição de provedor de liquidez com uma faixa de ticks extremamente estreita, o atacante desencadeava um transbordamento aritmético, mais precisamente um truncamento bit a bit, que fazia o contrato calcular um depósito obrigatório de apenas 1 unidade de token, enquanto ainda creditava o atacante com uma liquidez massiva.

O atacante então simplesmente removeu a liquidez, reivindicando as reservas reais do pool com base na contabilidade falsamente inflada.

Embora os validadores da Sui tenham conseguido coordenar um congelamento de emergência de US$ 162 milhões dos ativos antes que pudessem ser transferidos, o prejuízo líquido ainda permaneceu entre os maiores de 2025.

Isso provou ao ecossistema financeiro descentralizado que linguagens modernas e orientadas para segurança, como o Move, não são inerentemente imunes a bugs matemáticos, e reforçou que o rigor matemático continua sendo um requisito inegociável no desenho de protocolos.

Balancer V2: $128 milhões

O Balancer sofreu uma exploração sofisticada de engenharia econômica em várias cadeias (Ethereum, Arbitrum e Base) em novembro, quando um atacante conseguiu transformar uma pequena discrepância na forma como o protocolo lidou com arredondamento preciso durante swaps internos.

Os Composable Stable Pools do Balancer utilizaram diferentes direções de arredondamento para upscaling e downscaling de valores de tokens para proteger o Invariante do protocolo, que serve como âncora matemática para o algoritmo StableSwap, garantindo que o pool mantenha um valor total constante e equilíbrio durante as trocas de ativos.

O atacante descobriu que, ao empurrar os balances do pool para uma faixa específica de 8 a 9 Wei, eles podiam fazer a divisão inteira cair até 10% do valor por meio de erros de arredondamento para baixo.

Subsequentemente, usando um contrato automatizado, o atacante iniciou uma única transação contendo mais de 65 micro-swaps.

Cada troca repetidamente cortava alguns Wei de valor, aumentando a perda de precisão até que a contabilidade interna do pool ficasse completamente distorcida.

Como resultado, eles puderam aproveitar a perda de precisão composta até que a contabilidade interna do pool fosse completamente distorcida, após o que puderam cunhar tokens LP a um preço suprimido e resgatá-los instantaneamente por seu valor total, extraindo milhões sem acionar nenhuma das verificações de segurança do protocolo.