Hackeamentos Web3 atingem $4B em 2025: O que NFTs, DeFi e Cripto devem aprender | Notícias NFT de hoje

Hacks Web3 em 2025 atingiram um marco desconfortável. Quase $4 bilhão foi perdido em cripto, NFTs e DeFi devido a falhas de segurança, golpes e erro humano simples. O número vem do Relatório Anual de Segurança de 2025 publicado pela Hacken, e pinta um quadro que a indústria não pode ignorar.

Este não foi um ano definido por bugs obscuros escondidos em código experimental. A maior parte dos danos veio de controles de acesso fracos, credenciais roubadas e engenharia social. Em outras palavras, os mesmos problemas que as equipas de segurança têm alertado há anos—agora ocorrendo em uma escala muito maior.

Se você possui NFTs, negocia em exchanges centralizadas ou constrói em Web3, as lições de 2025 importam mais do que nunca.

Um $4 Bilhão de Verificação de Realidade para Web3

O relatório da Hacken coloca as perdas totais de 2025 em $4 bilhão. Esse número inclui violações de exchanges, golpes de phishing, carteiras comprometidas, rug pulls e explorações de protocolos.

Outras empresas, incluindo CertiK e Chainalysis, estimaram valores menores—entre $2,5B e $3,2B—dependendo de seus modelos de atribuição. No entanto, todas as principais fontes concordam que 2025 viu um aumento tanto na escala quanto na sofisticação dos ataques.

O que se destaca não é apenas o tamanho das perdas. É onde elas vieram.

Ciclos anteriores de cripto eram dominados por erros em contratos inteligentes. Em 2025, o equilíbrio mudou. Falhas operacionais e ataques sociais causaram mais dano do que códigos quebrados. À medida que mais capital fluía para Web3, os atacantes seguiam o dinheiro—e focavam nos caminhos mais fáceis.

Para usuários de NFT, essa mudança altera completamente o perfil de risco. Um contrato perfeito não ajuda se uma aprovação de carteira ou solicitação de assinatura for abusada.

Como o Ano se Desenrolou

Q1 Mudou Tudo

O ano começou mal. Até o final do primeiro trimestre, mais de $2 bilhão já tinha sido perdido. Isso fez do Q1 o pior trimestre para segurança em Web3 já registrado.

O maior motivador foi a violação da Bybit. Os atacantes não exploraram um contrato inteligente. Comprometeram a cadeia de suprimentos e adulteraram a infraestrutura do front-end. Foi um lembrete de que a segurança do blockchain não termina na própria cadeia.

Após esse incidente, as suposições de segurança mudaram rapidamente.

O Ritmo Diminuíu, Mas a Ameaça Não

As perdas diminuíram ao longo do restante do ano. Até o Q4, o dano total do trimestre ficou em torno de $350 milhão. Essa queda refletiu uma maior conscientização e tempos de resposta mais rápidos.

Ainda assim, o dano inicial não pôde ser desfeito. Os atacantes ajustaram sua estratégia em vez de recuar. Menos ataques. Impacto maior.

Onde o Dinheiro Foi Perdido

Controle de Acesso Foi a Maior Falha

Mais da metade de todas as perdas em 2025 veio de problemas de controle de acesso. Chaves privadas comprometidas. Carteiras multisig mal configuradas. Credenciais internas abusadas ou vazadas.

Nada disso exigiu exploits de ponta. Na maioria dos casos, os atacantes simplesmente obtiveram acesso que não deveriam ter.

Os dados da Hacken mostram que $2,12 bilhões—ou 53% de todas as perdas—derivaram de falhas de controle de acesso, tornando-se a principal causa de roubo de cripto em 2025.

Uma visão importante: carteiras multisig mostraram-se vulneráveis quando os signatários usaram dispositivos comuns. O exploit UXLINK viu signatários comprometidos cunharem trilhões de tokens, drenarem ativos e despejarem no mercado.

Isso é desconfortável de admitir, mas também útil. Esses são problemas que as equipes podem resolver com melhores processos.

Phishing Ficou Mais Difícil de Detectar

Phishing e engenharia social representaram quase $1 bilhão em perdas. Envenenamento de carteiras, mensagens falsas de suporte e golpes de impersonação continuaram evoluindo.

A IA tornou esses ataques mais convincentes. Entrevistas de emprego falsas. Chamadas de vídeo deepfake. Mensagens que pareciam exatamente algo que um projeto real enviaria.

Um usuário perdeu $50 milhão em uma única transação devido ao envenenamento de endereço—confundindo a carteira de um golpista com uma familiar. Outro perdeu $330 milhão em Bitcoin após um ataque de engenharia social de longo prazo.

Negociantes de NFT eram alvos frequentes, especialmente aqueles ativos em comunidades Discord e Telegram.

Exploits em Contratos Inteligentes Não Desapareceram

Erros em contratos ainda causaram danos, somando cerca de $512 milhão em perdas. Protocolos DeFi sofreram a maior parte desse impacto, com projetos baseados em Ethereum vendo a maior concentração.

Explorações notáveis incluíram: Balancer v2 ($128M via um erro de arredondamento), GMX v1 ($42M via bug de reentrância), e Yearn yETH ($9M via cunhagem infinita).

Auditorias ajudaram a reduzir a frequência, mas casos extremos e integrações continuaram a criar riscos. A segurança do código melhorou. Mas não foi suficiente por si só.

Exchanges vs DeFi: Pontos Fracos Diferentes

Plataformas Centralizadas Sofreram os Maiores Impactos

Exchanges centralizadas representaram mais da metade de todas as perdas. O caso mais visível envolveu a Bybit, onde os atacantes exploraram o acesso do front-end ao invés da lógica do blockchain.

A custódia concentra risco. Ferramentas internas, fornecedores terceirizados e acesso de funcionários aumentam toda a superfície de ataque. Quando algo dá errado, os números escalam rapidamente.

Infraestrutura DeFi e NFT Permaneceu Exposta

Explorações DeFi ultrapassaram $500 milhão em dezenas de incidentes. Drenagens de liquidez, falhas em pontes e erros matemáticos apareceram repetidamente.

Ethereum foi a cadeia mais visada, principalmente porque tanta atividade acontece lá. Plataformas de NFT frequentemente compartilhavam carteiras, permissões ou serviços de back-end com protocolos DeFi, o que permitia que riscos se espalhassem.

O Papel da Coreia do Norte Cresceu Significativamente

Um dos padrões mais claros em 2025 envolveu atacantes ligados ao estado. Grupos associados à Coreia do Norte foram responsáveis por cerca de 52% das perdas totais, roubando mais de $2 bilhão ao longo do ano.

Na verdade, 9 em cada 10 ataques de controle de acesso tiveram origem em grupos da DPRK, usando táticas como perfis falsos de recrutadores, repositórios maliciosos no GitHub e entrevistas deepfake.

Investigações ligaram grande parte dessa atividade a atores associados ao Lazarus Group e ao cluster TraderTraitor. Sua abordagem focava em phishing, impersonação e acesso interno, ao invés de exploits técnicos.

Em comparação com 2024, o valor roubado por esses grupos aumentou mais de 50%. A escala e a coordenação se destacaram.

Por Que os Detentores de NFT Sentiram o Impacto

NFTs não movimentaram os maiores valores em dólares, mas os colecionadores foram fortemente visados. Links falsos de cunhagem. Aprovações maliciosas. Contas comprometidas no Discord se passando por administradores de projetos.

Uma vez que uma carteira é comprometida, NFTs se movem instantaneamente. Não há rollback. Permissões de marketplace muitas vezes permanecem ativas muito tempo após os usuários esquecerem delas.

Para a segurança de NFTs, hábitos de carteira importam tanto quanto as salvaguardas da plataforma.

IA Mudou a Equação de Segurança

A IA atuou em ambos os lados em 2025.

Os atacantes usaram automação, deepfakes e mensagens adaptativas para escalar golpes mais rápido do que antes. Os defensores responderam com melhor monitoramento, detecção de anomalias e triagem de incidentes mais rápida.

Plataformas de recompensas por bugs como Immunefi ajudaram a identificar problemas cedo, mostrando que incentivos ainda importam.

A lacuna entre ofensiva e defensiva não se fechou. Ela se moveu.

A Regulamentação Começou a Acompanhar

As expectativas de segurança se fortaleceram em várias jurisdições principais.

Nos EUA, os frameworks de licenciamento cada vez mais exigem testes de penetração e gerenciamento de chaves com hardware seguro. Na Europa, o MiCA enfatiza segregação de custódia e auditorias independentes.

Essas regras não eliminarão violações. Mas elevam a linha de base e dificultam justificativas para atalhos.

O Que Realmente Ajuda no Futuro

Para usuários:
Carteiras de hardware reduzem a exposição. Dispositivos dedicados ajudam ainda mais. Listas de endereços e pré-visualizações de transações evitam erros comuns.

Para equipes de NFT e Web3:
Uma auditoria não é suficiente. Revisões em camadas detectam mais problemas. Configurações multisig e MPC reduzem pontos únicos de falha. Monitoramento deve continuar após o lançamento.

Para a indústria:
Padrões claros constroem confiança. A maturidade em segurança agora influencia adoção e fluxo de capital.

Um Ano Caro, mas um Sinal Claro

O $4 bilhão perdido para hacks em Web3 em 2025 reflete crescimento sob pressão. Os atacantes refinaram seus manuais de jogo. Os defensores aprenderam publicamente. A transparência expôs fraquezas, mas também forçou melhorias.

Segurança tornou-se credibilidade. Para NFTs, DeFi e cripto como um todo, a próxima fase depende menos de velocidade e mais de disciplina.

Perguntas Frequentes

Aqui estão algumas perguntas frequentes sobre este tópico:

1. Quanto foi perdido com hacks em Web3 em 2025?

A Hacken relatou $4,004 bilhões em perdas totais. Outras empresas como CertiK e Chainalysis estimaram entre $2,5B–$3,2B, dependendo das metodologias.

2. Quais foram as maiores fontes de perdas de cripto em 2025?

A maior parte veio de falhas de controle de acesso (53%), seguida por golpes de phishing (24%) e vulnerabilidades em contratos inteligentes (13%).

3. A Coreia do Norte foi realmente responsável pela maioria dos hacks em Web3?

Sim. Grupos ligados à Coreia do Norte foram responsáveis por cerca de 52% das perdas de 2025, muitas vezes usando táticas de phishing e engenharia social.

4. Ainda são eficazes as auditorias de contratos inteligentes?

Auditorias ajudam a reduzir riscos, mas não são infalíveis. Muitos exploits de 2025 ocorreram em protocolos auditados ou testados em batalha devido a casos extremos não considerados.

5. Como a IA impactou a segurança do Web3 em 2025?

A IA foi usada tanto defensivamente (para monitoramento) quanto ofensivamente (deepfakes, automação de golpes), introduzindo novos riscos como ataques de injeção de prompts.

6. O que os usuários podem fazer para proteger seus ativos?

Usar carteiras de hardware, evitar assinar transações desconhecidas, verificar endereços e praticar higiene digital rigorosa, especialmente em plataformas sociais.