O Relatório Anual de Segurança 2025 da Hacken estima as perdas totais da Web3 em cerca de US$ 3,95 bilhões, um aumento de aproximadamente US$ 1,1 bilhão em relação a 2024, com pouco mais da metade atribuída a agentes de ameaça ligados à Coreia do Norte.
Um relatório compartilhado com o Cointelegraph mostra que as perdas atingiram um pico de mais de US$ 2 bilhões no primeiro trimestre do ano antes de caírem para cerca de US$ 350 milhões no quarto trimestre, mas a Hacken alerta que o padrão ainda aponta para risco operacional sistêmico, e não para falhas pontuais de código.
O relatório enquadra 2025 como um ano em que os números pioraram, mas a história subjacente ficou clara. Falhas em contratos inteligentes importam, mas as maiores perdas, e as menos recuperáveis, continuam vindo de chaves fracas, signatários comprometidos e processos de desligamento mal executados.
Controle de acesso, não código, impulsiona as perdas
Segundo a Hacken, falhas de controle de acesso e quebras mais amplas de segurança operacional responderam por cerca de US$ 2,12 bilhões, ou quase 54% de todas as perdas de 2025, em comparação com cerca de US$ 512 milhões decorrentes de vulnerabilidades em contratos inteligentes.
A violação da Bybit, sozinha, de quase US$ 1,5 bilhão, é descrita como o maior roubo individual já registrado e um dos principais motivos pelos quais clusters ligados à Coreia do Norte respondem por aproximadamente 52% do total de fundos roubados.
Reguladores detalham controles, indústria fica para trás
Yehor Rudystia, chefe de forense da Hacken Extractor, disse ao Cointelegraph que reguladores nos Estados Unidos, na União Europeia e em outros grandes regimes de licenciamento vêm detalhando cada vez mais o que é considerado “bom” no papel, como controle de acesso baseado em funções, registros e logs, onboarding seguro e verificação de identidade, custódia de nível institucional (módulos de segurança de hardware, computação multipartidária ou multi-sig, e cold storage), além de monitoramento contínuo e detecção de anomalias.
No entanto, “como os requisitos regulatórios ainda estão se tornando princípios obrigatórios, muitas empresas da Web3 continuaram seguindo práticas inseguras ao longo de 2025”, afirmou Rudystia.
Ele apontou práticas como não revogar o acesso de desenvolvedores durante o off-boarding, usar uma única chave privada para gerenciar um protocolo e não contar com sistemas de Endpoint Detection and Response.
“Entre as mais importantes estão testes de invasão regulares, simulações de incidentes, revisões de controle de custódia e auditorias financeiras e de controles independentes”, disse Rudystia, acrescentando que grandes exchanges e custodiante deveriam tratar isso como inegociável em 2026.
De orientações brandas a exigências rígidas
A Hacken espera que a régua suba ainda mais à medida que supervisores avancem de orientações para exigências rígidas.
Yevheniia Broshevan, cofundadora e CEO da Hacken, disse ao Cointelegraph: “Vemos uma oportunidade significativa para a indústria elevar seu patamar de segurança, especialmente ao adotar protocolos claros para o uso de hardware dedicado de assinatura e implementar ferramentas essenciais de monitoramento.”
Ela espera que a segurança geral melhore em 2026 com requisitos regulatórios e “os padrões mais seguros”, que devem ser impostos para proteger os fundos dos usuários.
Considerando que clusters ligados à Coreia do Norte impulsionaram cerca de metade de todas as perdas na atribuição da Hacken, Rudystia afirmou que reguladores e autoridades de aplicação da lei também precisam tratar os playbooks do país como uma preocupação específica de supervisão.
Ele argumentou que as autoridades deveriam exigir o compartilhamento de inteligência de ameaças em tempo real sobre indicadores ligados à Coreia do Norte, demandar avaliações de risco específicas focadas em ataques de acesso liderados por phishing e combinar isso com “penalidades graduais por não conformidade” e proteções de safe harbor para plataformas que participem plenamente e mantenham defesas específicas contra a Coreia do Norte.
