Hacks de DeFi caem 80%, mas falhas multi-chain emergem como novo risco

As finanças descentralizadas tornaram-se muito mais seguras nos últimos seis anos. Uma nova análise das perdas de protocolos de 2020 a 2025 apresenta um número expressivo para fundamentar essa afirmação.

As perdas da DeFi em todo o setor atingiram o pico de 2,62 mil milhões de dólares em 2022 e caíram cerca de 80% para 534 milhões de dólares em 2024. Os ataques a bridges que outrora geravam manchetes de mil milhões de dólares representam agora uma fatia mínima dos totais anuais. O exploit típico hoje causa cerca de um quarto dos danos em relação ao pico.

As perdas caíram apesar de mais chains e utilizadores

O aspeto encorajador dos dados é que os ataques baratos e repetíveis foram maioritariamente eliminados. As perdas totais caíram 80% em dois anos, mesmo com o TVL da DeFi a continuar a subir. A perda mediana por incidente caiu de 6 milhões de dólares em 2022 para 1,5 milhões de dólares em 2025, uma queda de 75%.

O número de incidentes únicos subiu para 83 em 2025. Estão a acontecer mais ataques, mas cada um causa muito menos danos. É precisamente o que se espera de um campo de segurança em maturação.

As bridges foram a vulnerabilidade definidora em 2021 e 2022. Só nesse segundo ano, nove exploits em bridges resultaram em 1,9 mil milhões de dólares em perdas. A Ronin Bridge foi responsável por uma perda de 624 milhões de dólares por si só. Os ataques a bridges representaram 73% de todas as perdas da DeFi nesse ano. Em 2025, a quota das bridges tinha colapsado para 3%. A melhoria dos mecanismos de verificação, os conjuntos de validadores descentralizados e a transição para mensagens cross-chain nativas ajudaram a reduzir essa categoria.

Os ataques de flash loan seguiram o mesmo caminho descendente. Representavam 54% de todas as perdas em 2020. Em 2025, correspondiam a menos de 1%. Os protocolos adotaram defesas adaptadas a esse ataque: preços médios ponderados pelo tempo, integrações de oráculos Chainlink, proteções contra reentrada e designs que assumem que um atacante pode manipular preços numa única transação atómica.

As comprometimentos de chaves privadas registaram um declínio semelhante. Caíram de 28,7% das perdas em 2022 para 8,1% em 2025. Cada uma destas categorias diminuiu porque o setor reconheceu um padrão repetível e construiu respostas padronizadas.

O que resta é mais difícil de defender

Bloquear os ataques genéricos deixou para trás uma categoria muito mais difícil. Em 2025, 89,1% das perdas da DeFi resultaram de exploits de lógica de protocolo. Estas são falhas ao nível do código, específicas da forma como uma aplicação foi concebida. Um ataque a uma bridge envolve pressupostos de confiança reconhecíveis. Um ataque de flash loan faz parte de uma família conhecida de técnicas. Ambos podem ser defendidos com padrões reutilizáveis.

Um bug de lógica de protocolo é por natureza feito à medida. Emerge da matemática específica, dos controlos de acesso ou das escolhas de composabilidade de uma única base de código. É difícil de defender sistematicamente porque cada instância é o seu próprio puzzle.

O deployment multi-chain transforma bugs em crises

O deployment multi-chain transforma um destes bugs à medida numa crise em pleno desenvolvimento. Os principais protocolos implementam frequentemente o mesmo código no Ethereum, Base, Arbitrum, Polygon, OP Mainnet e Sonic. Uma única falha pode drenar fundos em todas as redes que o executam ao mesmo tempo.

Vimos isso em novembro de 2024, quando os V2 Composable Stable Pools da Balancer foram drenados de cerca de 128 milhões de dólares em menos de meia hora em seis blockchains simultaneamente. De acordo com a Check Point Research, o atacante explorou uma falha de precisão aritmética na matemática invariante dos pools. Empurrou os saldos de tokens para um limite de arredondamento e depois encadeou swaps em lote até que esses pequenos erros se acumularam numa drenagem total.

Os contratos com a mesma vulnerabilidade tinham sido implantados no Ethereum, Arbitrum, Base, Polygon, Sonic e OP Mainnet. O exploit atingiu todos eles de uma vez porque a falha estava incorporada no próprio código, e esse código tinha sido copiado para todo o lado. Onze auditorias separadas não conseguiram detetá-lo.

O relatório da ImmuneFi traça uma linha direta desde o exploit de cerca de 611 milhões de dólares da Poly Network em 2021 até à Balancer em 2025. A Poly Network foi uma falha no ponto de conexão entre sistemas. A Balancer foi a mesma lógica a falhar de forma idêntica em redes que partilham código, caminhos de assinatura e pressupostos de verificação.

A medição da segurança mudou

Quando uma chain passa a fazer parte do mapa de deployment padrão dos principais protocolos, absorve a superfície de risco de tudo o que aloja. O relatório atribui a perda total de um exploit multi-chain a cada chain afetada. Os participantes em todas as seis redes ficaram expostos ao impacto total.

Os números de ataques de 2025 para Polygon, OP Mainnet, Base e Sonic são fortemente influenciados pelo efeito em cascata da Balancer. O relatório exclui completamente as falhas de exchanges centralizadas. O maior roubo individual do ano, o ataque de 1,5 mil milhões de dólares à Bybit atribuído pelo FBI à Coreia do Norte, é considerado uma falha de custódia e não de protocolo.

Numa base de perda em relação ao TVL, o nível mais seguro entre os principais ecossistemas foi o Ethereum com cerca de 0,42%, a Solana com 0,42% e a BNB Chain com 0,33%. Estes três maiores ecossistemas DeFi sugerem que a escala e a segurança têm vindo a melhorar em conjunto.

Uma perda pode agora ocorrer numa aplicação que contém uma falha importada de outro lado. A conveniência que torna as aplicações multi-chain apelativas é o que faz com que este erro passe de local para partilhado. A cripto criou chains separadas em parte para evitar depender de um único sistema. Executar o mesmo punhado de protocolos populares em todas elas reconstruiu a concentração que essas chains pretendiam escapar.

O próximo grande incidente pode parecer pequeno no dia em que acontece, um único bug de lógica num protocolo amplamente implantado. O seu verdadeiro tamanho só se revelará quando as pessoas perceberem que o mesmo código vulnerável estava a correr em meia dúzia de redes durante todo o tempo.

The post DeFi hacks drop 80% but multi-chain flaws emerge as new risk appeared first on TheCryptoUpdates.