O ecossistema Web3 encerrou 2025 com um alerta vermelho em segurança. Segundo o Relatório Anual de Segurança 2025 da Hacken, as perdas totais no setor chegaram a US$ 3,95 bilhões, um aumento de aproximadamente US$ 1,1 bilhão em relação a 2024. O dado mais preocupante, no entanto, não está apenas no volume, mas na origem: mais da metade dos prejuízos foi causada por falhas operacionais, e não por bugs sofisticados em contratos inteligentes.

De acordo com o levantamento, os ataques atingiram o pico no primeiro trimestre, quando os prejuízos superaram US$ 2 bilhões, recuando gradualmente até cerca de US$ 350 milhões no quarto trimestre. Ainda assim, a Hacken destaca que a tendência revela riscos sistêmicos no modo como projetos e empresas cripto gerenciam acessos, chaves privadas e processos internos.

Controle de acesso é o principal vetor de ataque

O relatório mostra que falhas de controle de acesso e segurança operacional responderam por cerca de US$ 2,12 bilhões, ou 54% de todas as perdas em 2025. Em comparação, vulnerabilidades em contratos inteligentes somaram cerca de US$ 512 milhões, uma fração bem menor do total.

O caso mais emblemático foi o ataque à Bybit, com perdas próximas de US$ 1,5 bilhão, considerado o maior roubo individual já registrado no setor cripto. O episódio foi decisivo para que grupos associados à Coreia do Norte fossem responsáveis por cerca de 52% de todos os fundos roubados no ano.

Para a Hacken, o padrão é claro: chaves privadas fracas, signatários comprometidos e processos de off-boarding negligenciados seguem sendo os pontos mais explorados por atacantes, com baixíssimas taxas de recuperação dos fundos.

Reguladores avançam, indústria fica para trás

Segundo Yehor Rudystia, chefe de perícia da Hacken Extractor, reguladores nos Estados Unidos, União Europeia e outras grandes jurisdições já vêm deixando claro o que é considerado um padrão mínimo de segurança. Entre as exigências estão controle de acesso baseado em funções, registros e auditorias, onboarding seguro, verificação de identidade, custódia institucional (como hardware security modules, multi-sig e MPC), além de monitoramento contínuo e detecção de anomalias.

Apesar disso, Rudystia afirma que muitas empresas Web3 continuaram operando com práticas inseguras ao longo de 2025, tratando exigências regulatórias como meras recomendações. Entre os erros mais comuns estão não revogar acessos de desenvolvedores desligados, usar uma única chave privada para controlar protocolos inteiros e a ausência de sistemas de Endpoint Detection and Response (EDR).

Para ele, práticas como testes de invasão regulares, simulações de incidentes, revisões de custódia e auditorias independentes precisam se tornar inegociáveis em 2026, especialmente para grandes exchanges e custodiante.

De recomendações a obrigações legais

A expectativa da Hacken é que o cenário mude à medida que supervisores avancem de orientações gerais para requisitos obrigatórios, com penalidades claras. Para Yevheniia Broshevan, cofundadora e CEO da Hacken, existe uma oportunidade concreta de elevar o padrão de segurança do setor.

“Há um enorme espaço para melhorar, especialmente com protocolos claros para uso de hardware dedicado de assinatura e ferramentas essenciais de monitoramento”, afirmou. Segundo ela, a combinação de regulação mais dura e adoção de padrões robustos deve elevar significativamente o nível de proteção dos usuários em 2026.

Coreia do Norte entra no radar regulatório

Diante do peso dos ataques atribuídos à Coreia do Norte, Rudystia defende que reguladores e autoridades tratem o tema como uma ameaça específica e contínua, e não apenas como parte genérica do risco cibernético.

Entre as propostas estão a compartilhamento em tempo real de inteligência sobre indicadores ligados a grupos norte-coreanos, exigência de avaliações de risco focadas em ataques de phishing e engenharia social, além de penalidades graduais por não conformidade. Ao mesmo tempo, ele sugere mecanismos de safe harbor para plataformas que cooperem plenamente e adotem defesas específicas contra esse tipo de ameaça.

O relatório da Hacken reforça uma mensagem incômoda para o setor: o maior risco do Web3 já não está no código, mas na forma como pessoas, chaves e processos são geridos — e 2026 tende a ser o ano em que essa conta será cobrada com mais rigor.

Fonte: Hacken 2025 Yearly Security Report; Cointelegraph.

👉 Quer aprender a usar o Bitcoin para conquistar liberdade financeira? Conheça meu curso Soberania Crypto no site www.oandrecosta.com.br.