Web3 está a perder biliões, continua a chamar fraude de 'erro do usuário' | Opinião

Apenas na primeira metade de 2025, a indústria web3 perdeu mais de 3,1 mil milhões de dólares devido a hacks, golpes online e exploits, de acordo com o Relatório de Segurança H1 2025 da Hacken. Quase 600 milhões de dólares (aproximadamente um em cada cinco dólares) foram drenados por phishing e ataques de engenharia social.

E o problema não está a diminuir. Só em agosto de 2025, golpes de phishing roubaram mais de 12,7 milhões de dólares de utilizadores web3: não através de exploits complexos, mas através de simples enganos. Links falsos, sites falsificados e DApps maliciosos continuam a superar as defesas dos utilizadores.

No entanto, apesar disso, a indústria ainda concentra a sua atenção noutros lugares. Hacks de protocolo de alto perfil dominam as manchetes, enquanto o phishing, responsável por quase um quinto de todas as perdas, é silenciosamente normalizado. É o maior risco pelo qual ninguém quer assumir responsabilidade. Aqui está a dura verdade: o phishing não é um problema secundário. Até deixarmos de o descartar como "erro do utilizador" e começarmos a tratá-lo como fraude financeira, estamos ativamente a sabotar o nosso próprio futuro.

O phishing não é um problema do utilizador, mas uma falha de infraestrutura

Na finança tradicional, a prevenção de fraudes está incorporada na infraestrutura. Os bancos monitorizam automaticamente comportamentos incomuns, podem reter transações e frequentemente protegem o utilizador por padrão com alertas em tempo real. Se algo corre mal, existe um processo: departamentos de fraude investigam, o seguro entra em ação e os consumidores frequentemente recebem reembolso.

Nos EUA, a Regulamentação E garante que os consumidores não são responsáveis por transferências eletrónicas não autorizadas se forem reportadas prontamente. Até o Zelle, uma plataforma de pagamento peer-to-peer, tem sofrido pressão de reguladores e bancos para reembolsar vítimas de fraude.
Crucialmente, o que os utilizadores se preocupam não é se o seu banco tem sistemas de segurança perfeitos — é que nunca são deixados a arcar com a conta. O seguro, com reembolso quase instantâneo e sem perguntas, é a verdadeira rede de segurança. A segurança permite isso, mas o seguro é o que faz as pessoas confiarem no sistema. 

A Web3, por contraste, deixa os utilizadores a defenderem-se sozinhos. Clique no link errado, assine uma transação maliciosa, e a indústria encolhe os ombros: é culpa sua. Esta mentalidade é tanto injusta quanto insustentável. Quando golpes de milhões de dólares ocorrem diariamente, não é sorte — é infraestrutura quebrada. Utilizadores de retalho não deveriam precisar de ser especialistas em cibersegurança apenas para participar num sistema financeiro. Eles apenas precisam saber que o sistema os protege.

A obsessão da indústria com "autópsias"

O discurso de segurança da Web3 olha para trás. Auditorias de contratos inteligentes, relatórios de incidentes e declarações de "nunca mais" dominam as discussões — mas apenas depois do dano estar feito. Auditorias não podem parar emails de phishing. Autópsias não protegem carteiras. Falta prevenção em tempo real.
O que é necessário são sistemas que monitorizem transações à medida que acontecem, analisem comportamentos em tempo real e protejam utilizadores automaticamente ao nível da carteira. Estas ferramentas existem em várias formas — pré-visualizações de intenção de transação, avisos de contratos maliciosos, salvaguardas ao nível da carteira — mas a adoção é fragmentada, e as proteções permanecem opcionais em vez de padrão.

A indústria deve tornar estas salvaguardas invisíveis, automáticas e universais.

Por que o phishing está a matar a adoção

É tentador pensar que o phishing afeta principalmente utilizadores de retalho não sofisticados. Mas essa mentalidade é exatamente o que está a atrasar a web3.
Utilizadores de retalho compreensivelmente hesitam em envolver-se num sistema onde um clique errado pode eliminar os seus fundos. Instituições não comprometerão capital em mercados que não conseguem atender a padrões básicos de fraude. Até grandes exchanges e custodiantes citam riscos de segurança como uma barreira à entrada institucional.

O phishing não é apenas uma questão de segurança — é um gargalo para a adoção. Ignorá-lo mina o futuro do ecossistema.

O TradFi mostra o modelo, a web3 deveria liderar

A finança tradicional não é perfeita, mas entende que a fraude é uma ameaça sistémica. Transações suspeitas são sinalizadas, utilizadores são notificados automaticamente, e existem processos estabelecidos para investigação e reembolso. Estas são expectativas padrão, não recursos opcionais.

O que é frustrante é que a web3 na verdade tem melhores ferramentas disponíveis. Temos infraestrutura programável. Temos total transparência on-chain. Temos a capacidade de construir análises em tempo real no núcleo do sistema.

E ainda assim, apesar disso, a indústria continua a ficar atrás da finança tradicional em vez de liderar o caminho.

Tratar o phishing como fraude é existencial

A linha entre a adoção mainstream e a estagnação contínua não é sobre blockchains mais rápidas — é sobre confiança. Neste momento, os utilizadores não se sentem seguros.

Até que o phishing seja tratado como fraude financeira, as perdas continuarão. A deteção em tempo real deve ser incorporada na camada de transação. As proteções de carteira devem ser proativas, não reativas. Os utilizadores devem saber que o próprio sistema os está a proteger.

A prevenção de fraude não é o objetivo final — a experiência do utilizador sem medo é. A segurança é o facilitador, mas o seguro é a promessa: uma garantia de que, não importa o que aconteça, os utilizadores não serão arruinados. Essa é a base da adoção.

O caminho a seguir

Auditorias, educação e culpar os utilizadores não resolverão isto. Devemos projetar nossa saída. A deteção e proteção contra fraudes precisam ser construídas diretamente na infraestrutura. Estes sistemas devem funcionar automaticamente, nos bastidores, e sem exigir consciência do utilizador. Afinal, os clientes bancários não precisam ler código para verificar uma transação. Os utilizadores da Web3 também não deveriam precisar.

A questão definidora para o futuro da web3 é simples: os utilizadores confiam que os seus fundos estão seguros? Neste momento, a resposta é não. O phishing não é uma nota de rodapé — é a manchete; é hora da indústria tratá-lo dessa forma.

Alex Katz

Alex Katz é o CEO da Kerberus. Alex traz disciplina operacional dos seus anos dirigindo iniciativas de marketing global e escalando equipas internacionais. A sua experiência em mercados financeiros e crescimento digital informa o desenvolvimento estratégico da Kerberus, garantindo que nossas soluções de segurança atendam aos padrões empresariais enquanto permanecem acessíveis aos utilizadores individuais.