Mais de US$ 3,1 bilhões em criptomoedas foram perdidos no primeiro semestre de 2025 devido a problemas como bugs em contratos inteligentes, vulnerabilidades de controle de acesso, golpes do tipo rug pull e fraudes, segundo um relatório da auditoria de segurança blockchain Hacken.
Esse valor já supera o total de US$ 2,85 bilhões registrado em todo o ano de 2024. Embora o hack de US$ 1,5 bilhão da Bybit, em fevereiro, possa ter sido um ponto fora da curva, o setor cripto como um todo continua enfrentando desafios de segurança.
A distribuição dos tipos de perdas segue, em grande parte, as tendências observadas em 2024. Explorações de controle de acesso continuam sendo o principal fator, respondendo por cerca de 59% do total. Vulnerabilidades em contratos inteligentes contribuíram com cerca de 8% das perdas, com US$ 263 milhões roubados.
Yehor Rudytsia, chefe de forense e resposta a incidentes na Hacken, disse ao Cointelegraph que foi observada uma exploração significativa da GMX v1, cuja base de código desatualizada passou a ser alvo a partir do terceiro trimestre de 2025.
“Os projetos precisam se preocupar com suas bases de código antigas ou legadas, caso ainda estejam operando”, afirmou Rudytsia.
À medida que o setor cripto amadurece, os invasores deixaram de explorar falhas criptográficas e passaram a focar em vulnerabilidades humanas e nos processos. Essas técnicas sofisticadas incluem ataques de assinatura cega, vazamento de chaves privadas e campanhas elaboradas de phishing.
Esse cenário em evolução destaca uma vulnerabilidade crítica: o controle de acesso na cripto continua sendo uma das áreas mais subdesenvolvidas e de maior risco, apesar das crescentes salvaguardas técnicas.
DeFi e contratos inteligentes expõem vulnerabilidades
Falhas na segurança operacional foram responsáveis pela maior parte das perdas, com US$ 1,83 bilhão roubado em plataformas de finanças descentralizadas (DeFi) e finanças centralizadas (CeFi). O destaque do segundo trimestre foi o hack da Cetus, em que US$ 223 milhões foram drenados em apenas 15 minutos, marcando o pior trimestre do DeFi desde o início de 2023 e interrompendo uma tendência de queda de cinco trimestres nas perdas por exploração.
Antes disso, o quarto trimestre de 2024 e o primeiro de 2025 foram dominados por falhas de controle de acesso, superando a maioria das explorações baseadas em bugs. No entanto, neste trimestre, as perdas por controle de acesso no DeFi caíram para apenas US$ 14 milhões, o menor valor desde o segundo trimestre de 2024, enquanto as explorações de contratos inteligentes dispararam.
O ataque à Cetus explorou uma falha na verificação de overflow no cálculo de liquidez. O invasor utilizou um empréstimo relâmpago para abrir posições pequenas e, em seguida, esvaziou 264 pools. Segundo a Hacken, se um monitoramento em tempo real do valor total bloqueado (TVL) com função de pausa automática tivesse sido implementado, até 90% dos fundos poderiam ter sido salvos.
IA representa ameaça crescente à segurança cripto
A inteligência artificial e os grandes modelos de linguagem (LLMs) estão profundamente integrados aos ecossistemas Web2 e Web3. Embora essa integração promova inovação, ela também amplia a superfície de ataque, introduzindo ameaças de segurança novas e em constante evolução.
Explorações relacionadas à IA aumentaram 1.025% em comparação com 2023, com impressionantes 98,9% desses ataques ligados a APIs inseguras. Além disso, cinco grandes vulnerabilidades e exposições comuns (CVEs) relacionadas à IA foram adicionadas à lista, e 34% dos projetos Web3 agora utilizam agentes de IA em ambientes de produção, tornando-se alvos crescentes para os invasores.
Estruturas tradicionais de cibersegurança, incluindo a ISO/IEC 27001 e o NIST Cybersecurity Framework, ainda não estão preparadas para lidar com riscos específicos da IA, como alucinações dos modelos, injeção de prompts e envenenamento de dados adversarial. Segundo a Hacken, esses padrões precisam evoluir para refletir as ameaças específicas da IA que agora afetam a Web3.