Em 2025, a natureza dos ataques a criptomoedas passou por uma transformação significativa. De acordo com uma análise recente da empresa de segurança de blockchain CertiK, os cibercriminosos mudaram suas táticas, concentrando-se menos em explorar falhas no código blockchain e mais em manipular pessoas.
Até agora, neste ano, mais de US$2,1 bilhões em ativos digitais foram roubados, com uma parcela crescente desse valor ligada a esquemas de engenharia social e comprometimento de carteiras, em vez de vulnerabilidades técnicas em contratos inteligentes.
Essa transição marca uma evolução notável na forma como agentes maliciosos operam no ecossistema de criptomoedas. Enquanto em anos anteriores, bugs em contratos inteligentes e explorações de protocolo estavam entre os vetores de ataque mais comuns, em 2025 os invasores optaram por meios mais simples e eficazes — enganando os usuários diretamente. Essa estratégia requer menos habilidades técnicas, mas pode gerar pagamentos massivos.
Engenharia social é um método pelo qual os invasores manipulam psicologicamente os indivíduos para que forneçam informações confidenciais. No mundo das criptomoedas, isso frequentemente envolve phishing — e-mails, links ou sites fraudulentos projetados para enganar os usuários e fazê-los revelar chaves privadas ou autorizar transações maliciosas. Esses golpes têm sido devastadoramente eficazes. Somente em 2024, o phishing levou a mais de US$1 bilhão em perdas em 296 incidentes, tornando-se o vetor de ataque mais prejudicial daquele ano. O relatório de 2025 mostra que essa tendência está se acelerando.
Ronghui Gu, cofundador da CertiK, observou em uma entrevista recente que a maior parte das perdas deste ano resultou de vulnerabilidades relacionadas à carteira, como gerenciamento inadequado de chaves e erros operacionais.
“Ao contrário dos ataques a contratos inteligentes, que exigem conhecimento técnico complexo e análises demoradas, a engenharia social se aproveita do erro humano, um recurso infelizmente abundante.”
Um caso particularmente ilustrativo ocorreu em abril de 2025, quando um ataque de phishing resultou no roubo de US$330,7 milhões em Bitcoins de um usuário americano idoso. Este incidente não envolveu exploração de código ou malware. Em vez disso, baseou-se em uma técnica cada vez mais comum, conhecida como envenenamento de endereço, na qual os invasores implantam um endereço de carteira muito semelhante ao frequentemente usado pela vítima. Quando o usuário copia e cola o endereço errado durante uma transação, os fundos são enviados irreversivelmente para a carteira do hacker.
Talvez o evento mais impressionante do ano tenha sido a exploração de US$1,4 bilhão na corretora Bybit, ocorrida em fevereiro de 2025. Embora essa violação tenha envolvido técnicas sofisticadas e tenha sido atribuída ao notório Lazarus Group, da Coreia do Norte, ela ressalta que, embora a engenharia social esteja em ascensão, os hacks tradicionais não desapareceram. Ainda assim, a maior parte dos fundos roubados do ano veio de vulnerabilidades centradas no usuário, e não de falhas em contratos inteligentes.
Essa mudança na metodologia de ataque também é um sinal de amadurecimento nas tecnologias DeFi e blockchain. À medida que os protocolos se tornam mais seguros e as práticas de auditoria melhoram, os invasores naturalmente voltam sua atenção para o que permanece vulnerável: o comportamento humano.
“Os invasores sempre atacam o elo mais fraco. No passado, era o código. Agora, é o usuário.”
Para combater essas ameaças em evolução, o setor precisa se adaptar rapidamente. A segurança aprimorada das carteiras é um ponto de partida fundamental. Recursos como autorização com múltiplas assinaturas, acesso biométrico, alertas de transações em tempo real e testes simulados de phishing podem reduzir significativamente os incidentes.
Além disso, a educação do usuário é fundamental. Muitos investidores, principalmente os usuários de varejo, ainda desconhecem as melhores práticas para proteger seus ativos. A introdução de integração obrigatória para usuários de carteiras, com treinamento de segurança integrado, pode se tornar necessária em breve.
Também é necessário que as exchanges e plataformas DeFi implementem ferramentas de monitoramento com tecnologia de IA que detectem comportamentos suspeitos em tempo real, sinalizando ou congelando automaticamente transações de alto risco antes de serem finalizadas. Essas soluções já estão sendo desenvolvidas e testadas em alguns setores das finanças tradicionais e podem ser adaptadas para ambientes Web3.
O relatório destaca uma realidade preocupante: embora a natureza descentralizada do blockchain ofereça incrível autonomia e transparência, ela também exige um nível maior de responsabilidade individual. Ao contrário dos bancos tradicionais, onde o suporte ao cliente e os sistemas de prevenção a fraudes podem frequentemente reverter uma transação, as transações em blockchain são imutáveis. Uma vez cometido um erro, ele é permanente.
