2025 foi um ano difícil para a cibersegurança em ativos digitais, encerrando-se com mais de US$ 3,4 bilhões em cripto roubados em centenas de incidentes. Contagens independentes mostram mais de 300 incidentes de segurança graves no ano. Pelo menos hackers norte-coreanos foram responsáveis por uma parcela significativa desses roubos, principalmente no caso do ataque à Bybit.
O Relatório Skynet Hack3d 2025 está aqui.
US$ 3,35 bilhões perdidos. Mais de 700 incidentes. Novos vetores de ataque. Principais tendências.
Obtenha a análise mais detalhada sobre segurança Web3 em 2025, de explorações a insights.
Leia o relatório completo👇
— CertiK (@CertiK) 23 de dezembro de 2025
Abaixo estão os cinco maiores assaltos de 2025, incluindo um impulsionado principalmente por engenharia social.
Bybit: US$ 1,5 bilhão (fevereiro de 2025)
As autoridades dos EUA atribuíram o maior roubo de cripto da história ao Grupo Lazarus da Coreia do Norte. Investigadores afirmaram que os atacantes tomaram controle de uma carteira fria de ETH, depois lavaram rapidamente os fundos por várias blockchains via BTC e outras moedas. Divulgações da exchange e posterior análise forense mostraram que grandes porções foram roteadas pelo THORChain e divididas entre dezenas de milhares de endereços.
De acordo com um relatório posterior da Crystal Intelligence, o ataque enfrentado pela Bybit foi uma operação sofisticada que comprometeu seu frontend, enganando funcionários a pensarem que estavam assinando transações legítimas. WazirX e Phemex foram hackeadas de maneira semelhante.
Após o incidente, a Bybit lançou uma recompensa de recuperação de 10% e contratou investigadores de blockchain para ajudar a congelar os fundos roubados. Partes foram rastreadas, embora a maioria ainda esteja em movimento.
Cetus DEX (Sui): US$ 220 milhões (maio)
A maior DEX e provedora de liquidez da Sui, Cetus, foi drenada em US$ 220 milhões em apenas 15 minutos. Segundo a Merkle Science, os hackers não exploraram uma vulnerabilidade em contrato inteligente, o que é típico na indústria. Em vez disso, beneficiaram-se de um erro de arredondamento em uma biblioteca matemática de terceiros, usada para cálculos de liquidez e precificação.
Um invasor abusou de uma falha de arredondamento/verificação MSB para manipular parâmetros do pool e extrair ativos. As equipes agiram rapidamente para pausar os contratos e depois alegaram que cerca de US$ 160 milhões haviam sido congelados ou recuperados.
No entanto, mais de US$ 60 milhões permaneceram em risco. Esta foi a maior exploração DeFi do ano e interrompeu brevemente as negociações no ecossistema Sui.
Balancer: US$ 116 milhões (novembro)
Uma violação no Balancer, um protocolo DeFi popular, foi inicialmente detectada por investigadores cripto no X. Um atacante explorou um erro de arredondamento na lógica do pool estável do Balancer V2 em Ethereum e várias L2s e sidechains. A divulgação do Balancer confirma a causa técnica do problema.
As estimativas iniciais colocaram as perdas próximas de US$ 120 milhões, com a maior parte na rede principal do Ethereum. Além disso, uma baleia inativa retirou US$ 6,5 milhões logo após o hack. O Valor Total Bloqueado (TVL) do Balancer caiu pela metade, de US$ 442 milhões para US$ 214,5 milhões em um único dia.
No entanto, de acordo com a Crystal Intelligence, a maioria dos fundos foi rastreada. As carteiras agora são monitoradas de perto para potenciais transações visando congelar os fundos roubados.
Phemex (CEX): US$ 73 milhões (janeiro)
A Phemex, uma exchange centralizada (CEX) baseada em Singapura, teve sua hot-wallet comprometida em 16 blockchains. Empresas de segurança identificaram dezenas de saídas suspeitas das hot wallets da Phemex em grandes redes.
Este foi o primeiro grande hack de 2025 que abalou a comunidade. Um especialista proeminente no X, ZachXBT, que participou da investigação da Bybit, provou que os ataques à Phemex e à Bybit foram realizados pelo Lazarus e usaram endereços semelhantes.
O Lazarus Group acabou de conectar o ataque à Bybit ao ataque à Phemex diretamente on-chain, misturando fundos do endereço inicial de ambos os incidentes.
Endereço sobreposto:
0x33d057af74779925c4b2e720a820387cb89f8f65Transações do ataque à Bybit em 22 de fevereiro de 2025:…
— ZachXBT (@zachxbt) 22 de fevereiro de 2025
Após o incidente, a empresa suspendeu completamente depósitos e saques, mas em fevereiro, os serviços foram totalmente retomados com reforço adicional da segurança.
Upbit (CEX): mais de US$ 30 milhões (novembro)
A maior exchange da Coreia do Sul, Upbit, relatou um hack em novembro, com impacto total de 44,5 bilhões de won (cerca de US$ 34 milhões). Os clientes foram reembolsados a partir das reservas, enquanto 5,9 bilhões de won (US$ 4 milhões) de fundos corporativos da Upbit foram perdidos. Apenas uma pequena parte, de US$ 1,77 milhão, foi congelada por meio de rastreamento.
A Upbit interrompeu fluxos de Solana, transferiu fundos para armazenamento frio, coordenou congelamentos com emissores/exchanges e reabriu gradualmente carteiras usando novos endereços de depósito. Mesmo com o reembolso, o incidente ressaltou o risco de concentração do CeFi.
Hacks Cripto de 2025 em Números
- Total roubado: US$ 3,3-3,4 bilhões (a variação reflete metodologias diferentes entre Chainalysis e Beosin/Footprint).
- Quantidade de incidentes: ~313 casos principais (Beosin/Footprint).
- Resumo do primeiro semestre: cerca de US$ 2,5 bilhões roubados em mais de 300 incidentes. Segundo CertiK, isso já supera o total de 2024.
- Ataques típicos: carteiras comprometidas e phishing/engenharia social foram fatores materiais.
- Plataformas visadas: Poucos ataques em nível de infraestrutura dominaram as perdas (ex: Bybit), enquanto o número total de incidentes DeFi permaneceu muito maior, mas com perdas mais modestas.
🛡️ A Beosin tem o prazer de lançar o Relatório Global de Segurança Web3 2025!
🔍 Principais destaques:
Em 2025, as perdas totais no ecossistema Web3 devido a hacks, golpes de #phishing e rug pulls chegaram a US$ 3,375 bilhões em 313 incidentes de segurança graves.Incidentes principais: A maior perda individual…
— Beosin 🛡 Web3 Security & Compliance (@Beosin_com) 29 de dezembro de 2025
Por Que a Engenharia Social Importou Mais
Em geral, empresas de segurança notaram uma mudança para comprometimentos de fator humano e cadeia de suprimentos. Hackers migraram de frontends envenenados e truques de UI multisig para personificação de executivos e roubo de chaves, reduzindo assim a parcela relativa de bugs puros em solidity. As perdas excepcionais de 2025 foram esmagadoramente devido a falhas de controle de acesso, e não a novas falhas matemáticas on-chain.
Yana Khlebnikova ingressou na CoinSpeaker como editora em janeiro de 2025, após passagens anteriores pela Techopedia, crypto.news, Cointelegraph e CoinMarketCap, onde aprimorou sua expertise em jornalismo sobre criptomoedas.
