Perdas no Setor Web3 Atingem R$ 23,7 Bilhões em 2025, com Falhas de Segurança Operacional Liderando Ataques, Aponta Relatório Hacken
São Paulo, Brasil – O setor Web3, que abrange tecnologias de blockchain e criptoativos, registrou perdas totais de aproximadamente US$ 3,95 bilhões (cerca de R$ 23,70 bilhões) em 2025, um aumento de cerca de US$ 1,1 bilhão (R$ 6,60 bilhões) em relação a 2024. Mais da metade dessas perdas foi atribuída a agentes mal-intencionados com laços com a Coreia do Norte, conforme revela o Relatório Anual de Segurança 2025 da Hacken.
O relatório, compartilhado com o Cointelegraph, indica que as perdas atingiram um pico superior a US$ 2 bilhões (R$ 12 bilhões) no primeiro trimestre do ano, antes de diminuírem para cerca de US$ 350 milhões (R$ 2,1 bilhões) no quarto trimestre. No entanto, a Hacken alerta que esse padrão aponta para um risco operacional sistêmico (problemas fundamentais na forma como as operações são conduzidas), e não apenas para erros de código isolados.
Leia também
O ano de 2025 foi marcado por uma piora nos números, mas também por uma clarificação das causas subjacentes. Embora falhas em contratos inteligentes (programas autoexecutáveis que operam na blockchain) sejam relevantes, as maiores e mais difíceis perdas de serem recuperadas ainda decorreram de chaves fracas (credenciais de acesso vulneráveis), signatários comprometidos (entidades ou indivíduos com suas chaves de autorização comprometidas) e processos de desligamento inadequados (como não revogar acessos de ex-funcionários).
Controle de Acesso, Não o Código, Impulsiona Perdas
De acordo com a Hacken, as falhas no controle de acesso e as quebras generalizadas na segurança operacional foram responsáveis por cerca de US$ 2,12 bilhões (aproximadamente R$ 12,72 bilhões), ou quase 54% de todas as perdas de 2025. Em contraste, as vulnerabilidades em contratos inteligentes resultaram em cerca de US$ 512 milhões (R$ 3,072 bilhões) em perdas.
O ataque à Bybit, sozinho, que totalizou quase US$ 1,5 bilhão (R$ 9 bilhões), foi descrito como o maior roubo registrado e um motivo chave para que grupos ligados à Coreia do Norte respondessem por aproximadamente 52% do total de fundos roubados.
Reguladores Detalham Controles, Mas a Indústria Demora a Adotar
Yehor Rudystia, chefe de forense da Hacken Extractor, disse ao Cointelegraph que os regimes de licenciamento de reguladores nos EUA, União Europeia e outras grandes jurisdições estão cada vez mais especificando o que constitui “boas práticas” de segurança. Isso inclui controle de acesso baseado em função (definir permissões de acesso com base no papel do usuário), registro de atividades (gravação de eventos), integração segura e verificação de identidade, custódia de nível institucional (armazenamento seguro de ativos digitais), como modelos de segurança de hardware (HSM), computação multipartidária (MPC) ou carteiras multi-assinatura (multi-sig, que exigem múltiplas aprovações para transações) e armazenamento a frio (cold storage, offline), bem como monitoramento contínuo e detecção de anomalias.
No entanto, “como os requisitos regulatórios estão apenas se tornando princípios obrigatórios, muitas empresas Web3 continuaram a seguir práticas inseguras ao longo de 2025”, afirmou Rudystia. Ele apontou exemplos como a falta de revogação de acesso de desenvolvedores durante o desligamento, o uso de uma única chave privada (sequência secreta que dá acesso aos criptoativos) para gerenciar um protocolo e a ausência de sistemas de Detecção e Resposta de Endpoint (EDR).
“Entre os mais importantes estão testes de penetração regulares (pen tests, simulações de ataques), simulações de incidentes, revisões de controle de custódia e auditorias financeiras e de controle independentes”, disse Rudystia, acrescentando que grandes exchanges (corretoras de criptoativos) e custodiantes (empresas que armazenam ativos) deveriam considerar esses pontos como inegociáveis em 2026.
De Orientações Flexíveis a Requisitos Rígidos
A Hacken espera que o padrão de segurança aumente ainda mais à medida que os supervisores passem de simples orientações para requisitos mais rígidos. Yevheniia Broshevan, cofundadora e CEO da Hacken, afirmou que a empresa vê “uma oportunidade significativa para a indústria elevar sua linha de base de segurança, particularmente na adoção de protocolos claros para o uso de hardware de assinatura dedicado e na implementação de ferramentas essenciais de monitoramento”. Ela antecipa uma melhoria geral na segurança em 2026, impulsionada pelos requisitos regulatórios e pela imposição de “padrões mais seguros” para proteger os fundos dos usuários.
Dado que grupos ligados à Coreia do Norte foram responsáveis por aproximadamente metade de todas as perdas, Rudystia sugeriu que reguladores e agências de aplicação da lei precisam tratar as táticas do país como uma preocupação de supervisão específica. Ele defendeu que as autoridades deveriam exigir o compartilhamento em tempo real de inteligência de ameaças sobre indicadores norte-coreanos, demandar avaliações de risco específicas para ameaças focadas em ataques de acesso via phishing (tentativas de enganar usuários para obter informações confidenciais) e complementar isso com “penalidades graduais para não conformidade” e proteções de porto seguro para plataformas que participem plenamente e mantenham defesas específicas contra a Coreia do Norte.
Isenção de Responsabilidade: O GranaBit não fornece conselhos de investimento. Todo investimento em criptoativos envolve risco. O conteúdo acima é meramente informativo.
Fonte: Cointelegraph (Tradução e Adaptação: GranaBit)
