Quando hackers se tornam equipes nacionais e IA: lista de verificação de autoavaliação de segurança para projetos cripto em 2026

Chainfeeds Guia de Leitura:

Na última década, o mundo cripto gastou muito tempo provando que não é um esquema Ponzi; na próxima década, precisará da mesma determinação para provar que é seguro o suficiente para suportar capital sério.

Fonte do artigo:

Autor do artigo:

Revelação On-chain

Opinião:

Revelação On-chain: Os ataques cripto deste ano apresentam uma nova simetria: o número de incidentes diminuiu, mas cada ataque tornou-se significativamente mais destrutivo. O relatório de meio de ano de 2025 da SlowMist mostra que, no primeiro semestre, a indústria cripto sofreu 121 incidentes de segurança — uma queda de 45% em relação aos 223 do mesmo período do ano passado. Isso deveria ser uma boa notícia, mas as perdas dos ataques saltaram de 1.43 bilhões de dólares para cerca de 2.37 bilhões de dólares, um aumento de 66%. Os atacantes já não perdem tempo com alvos de baixo valor, concentrando-se em ativos de alto valor e pontos de entrada com barreiras técnicas elevadas. As finanças descentralizadas (DeFi) continuam sendo o principal campo de batalha dos atacantes, representando 76% dos incidentes. No entanto, apesar de 92 incidentes, as perdas dos protocolos DeFi caíram de 659 milhões de dólares em 2024 para 470 milhões de dólares. Essa tendência indica que a segurança dos contratos inteligentes está melhorando gradualmente, com a popularização da verificação formal, programas de recompensa por bugs e ferramentas de proteção em tempo de execução, fortalecendo as defesas do DeFi. Mas isso não significa que os protocolos DeFi estejam seguros. Os atacantes agora buscam vulnerabilidades mais complexas, procurando oportunidades de maior retorno. Ao mesmo tempo, as exchanges centralizadas (CEX) tornaram-se a principal fonte de perdas. Apesar de apenas 11 incidentes, as perdas chegaram a 1.883 bilhões de dólares, sendo que uma exchange famosa sofreu uma única perda de 1.46 bilhões de dólares — um dos maiores ataques únicos da história cripto (em valor, até superando o incidente Ronin de 625 milhões de dólares). Esses ataques não dependem de vulnerabilidades on-chain, mas sim de sequestro de contas, abuso de permissões internas e ataques de engenharia social. Essa "diferença de eficiência" também levou a uma polarização dos alvos dos ataques: Campo de batalha DeFi: intensivo em tecnologia — os atacantes precisam entender profundamente a lógica dos contratos inteligentes, encontrar vulnerabilidades de reentrada, explorar falhas nos mecanismos de precificação AMM; Campo de batalha CEX: intensivo em permissões — o objetivo não é quebrar o código, mas obter acesso a contas, chaves de API e direitos de assinatura de carteiras multi-sig. Ao mesmo tempo, os métodos de ataque também estão evoluindo. No primeiro semestre de 2025, surgiram vários ataques inovadores: phishing explorando o mecanismo de autorização EIP-7702, golpes de investimento usando tecnologia deepfake para se passar por executivos de exchanges, e extensões de navegador maliciosas disfarçadas de ferramentas de segurança Web3. A polícia de Hong Kong desmantelou um grupo de fraude deepfake que causou perdas superiores a 34 milhões de dólares de Hong Kong — as vítimas pensavam estar em videochamadas com influenciadores reais de criptomoedas, mas na verdade estavam interagindo com avatares virtuais gerados por IA.