Principais hacks de cripto de 2025: incidentes que expuseram os pontos fracos da indústria

2025 foi um grande ano para a indústria cripto, mas revelou-se uma faca de dois gumes ao olhar para o panorama geral.

Por um lado, a indústria amadureceu em termos de adoção institucional, com um número recorde de fusões e aquisições.

Houve 267 acordos no total de 8,6 mil milhões de dólares, tornando-o um ano lucrativo para aqueles posicionados do lado certo da negociação. 

Por outro lado, as perdas com hacks e exploits atingiram um recorde histórico, expondo o quanto o espaço ainda tem de progredir na frente de segurança.

Dados de empresas de segurança como SlowMist e CertiK relataram que o número de incidentes de segurança caiu 50% ano após ano, de mais de 400 em 2024 para aproximadamente 200 em 2025. 

Mas a extensão das perdas financeiras conta uma história diferente. O total de fundos roubados aumentou 55% em comparação com o ano anterior, subindo para mais de 3,4 mil milhões de dólares.

Embora a higiene básica de segurança, como auditorias de contrato inteligente de rotina e deteção automatizada de bugs, esteja a eliminar com sucesso as frutas ao alcance que os hackers amadores costumavam ter como alvo, a natureza dos ataques mudou fundamentalmente.

Os atacantes modernos já não lançam uma rede ampla em busca de pequenas vulnerabilidades de protocolo.

Em vez disso, grupos profissionalizados, nomeadamente o Grupo Lazarus norte-coreano, estão a passar meses em reconhecimento e infiltração de infraestruturas para executar ataques únicos e catastróficos.

A indústria enfrenta agora uma crise de qualidade sobre quantidade, onde menos ataques estão a acontecer, mas aqueles que acontecem são muito mais prejudiciais.

À medida que 2026 começa, aqui está uma retrospetiva de quatro dos maiores incidentes de segurança de 2025, que expuseram muitos dos pontos fracos da indústria.

Exchange Bybit: 1,5 mil milhões de dólares

O maior incidente do ano desenrolou-se na exchange de criptomoedas com base no Dubai, Bybit, que se tornou o maior roubo confirmado de sempre ligado ao Grupo Lazarus apoiado pelo Estado da Coreia do Norte.

Os atacantes passaram meses a construir confiança com um programador da Safe{Wallet}, um fornecedor líder de infraestrutura de assinatura múltipla, antes de conseguirem introduzir um projeto Docker malicioso que estabeleceu silenciosamente uma porta de acesso persistente.

Uma vez dentro, os atacantes injetaram JavaScript malicioso no código frontend da interface da carteira Safe usada pela equipa de assinatura interna da Bybit.

Quando os executivos da Bybit iniciaram sessão para assinar o que pareciam ser transações internas de rotina, a interface do utilizador apresentava endereços de carteira e montantes corretos.

Ao nível do código, no entanto, o endereço de destino foi silenciosamente trocado por carteiras controladas pelos atacantes.

Aproximadamente 1,46 mil milhões a 1,5 mil milhões de dólares em ETH foram drenados, impactando um grande número de utilizadores que ficaram expostos a uma das falhas de segurança mais graves que a indústria já viu.

O incidente expôs um ponto fraco crítico da indústria em torno da confiança na interface do utilizador, reforçando que carteiras de hardware e limites de assinatura múltipla oferecem pouca proteção se a camada de software que apresenta os detalhes da transação tiver sido comprometida.

Baleia Bitcoin Og: 330 milhões de dólares

Em abril, uma baleia Bitcoin da era Satoshi que mantinha as suas moedas intocadas há mais de uma década tornou-se vítima de um devastador ataque de engenharia social que resultou na perda de 3.520 BTC, no valor de aproximadamente 330,7 milhões de dólares na altura.

O incidente ficou gravado na história como o maior roubo individual na história da indústria, como foi enquadrado pelo detetive on-chain ZachXBT.

Ao contrário de ataques que visam código, este utilizou deepfakes alimentados por IA e clonagem de voz para contornar as defesas psicológicas da vítima durante um período de vários meses.

Os perpetradores, suspeitos de serem um sindicato organizado a operar a partir de um sofisticado call center em Camden, Reino Unido, usando pseudónimos como "Nina" e "Mo", construíram uma falsa sensação de segurança com a vítima idosa ao personificar consultores jurídicos e técnicos de confiança.

Eventualmente, os atacantes direcionaram a vítima para um portal falso de "verificação de segurança" que imitava o site oficial de suporte de um fornecedor conhecido de carteiras, onde a vítima foi manipulada para inserir as suas credenciais privadas ou assinar uma transação específica no seu dispositivo de hardware sob o pretexto de uma "atualização de conta". Os fundos foram instantaneamente movidos.

Os fundos foram rapidamente lavados através de "cadeias de descascamento" e convertidos na moeda de privacidade Monero (XMR), causando um pico de preço de 50% no Monero devido à procura súbita e maciça.

O incidente expôs em última análise a extrema vulnerabilidade de indivíduos de alto património líquido que carecem de serviços de custódia de nível institucional, mostrando que nenhuma quantidade de encriptação pode proteger ativos se a camada humana for efetivamente manipulada.

Exploit do Protocolo Cetus: 223 milhões de dólares

O Protocolo Cetus, que é a maior exchange descentralizada (DEX) na rede Sui, foi explorado em maio devido a uma falha técnica na sua lógica de contrato inteligente.

O explorador identificou uma falha aritmética crítica numa biblioteca matemática de código aberto partilhada usada para cálculos de liquidez, que lhes permitiu drenar aproximadamente 223 milhões de dólares em ativos de liquidez.

Especificamente, a função foi concebida para escalar com segurança números de ponto fixo ao deslocá-los para a esquerda em 64 bits.

No entanto, continha um erro de lógica na sua verificação de overflow. A comparação usava uma máscara demasiado grande, que permitia deslocamentos bit a bit que deveriam ter sido rejeitados.

Ao usar um empréstimo rápido para criar uma posição de provedor de liquidez com uma faixa de tick extremamente estreita, o atacante desencadeou um overflow aritmético, mais precisamente uma truncagem bit a bit, que fez com que o contrato calculasse um depósito necessário de apenas 1 unidade de um token enquanto ainda creditava o atacante com liquidez massiva.

O atacante então simplesmente removeu a liquidez, reivindicando as reservas reais do pool com base na contabilidade falsamente inflacionada.

Embora os validadores Sui tenham conseguido coordenar um congelamento de emergência em 162 milhões de dólares dos ativos antes que pudessem ser transferidos, a perda líquida ainda permaneceu uma das maiores de 2025.

Provou ao ecossistema de finanças descentralizadas (DeFi) que linguagens modernas orientadas para a segurança como Move não são inerentemente imunes a bugs matemáticos, e reforçou que o rigor matemático permanece um requisito inegociável no design de protocolo.

Balancer V2: 128 milhões de dólares

O Balancer sofreu um exploit sofisticado de engenharia económica em várias chains (Ethereum, Arbitrum e Base) em novembro, quando um atacante conseguiu transformar em arma uma minúscula discrepância na forma como o protocolo lidava com o arredondamento de precisão durante trocas internas.

Os Pools Estáveis Compostos do Balancer utilizavam diferentes direções de arredondamento para aumentar e reduzir a escala das quantidades de tokens para proteger a Invariante do protocolo, que serve como âncora matemática para o algoritmo StableSwap, garantindo que o pool mantém um valor total constante e equilíbrio durante trocas de ativos.

O atacante descobriu que ao forçar os saldos do pool para uma faixa específica de 8 a 9 Wei, poderia causar a queda da divisão de inteiros até 10% do valor através de erros de arredondamento para baixo.

Subsequentemente, usando um contrato automatizado, o atacante iniciou uma única transação contendo mais de 65 micro-trocas.

Cada troca repetidamente raspou alguns Wei de valor, compondo a perda de precisão até que a contabilidade interna do pool estava completamente distorcida.

Como resultado, conseguiram aproveitar a perda de precisão composta até que a contabilidade interna do pool estivesse completamente distorcida, após o que puderam cunhar tokens LP a um preço suprimido e resgatá-los pelo seu valor total instantaneamente, extraindo milhões sem acionar nenhuma das verificações de segurança do protocolo.

A publicação Top hacks cripto de 2025: incidentes que expuseram os pontos fracos da indústria apareceu primeiro no Invezz