Saltar para o conteúdo principal

Seu Código Está Bem — Eles Estão Vindo Atrás das Suas Chaves: Por Dentro da Mudança de Alvo de $2,2 Bilhões na Infraestrutura Cripto

· 11 min de leitura
Dora Noda
Dora Noda
Software Engineer

A linha de código mais cara da história das criptomoedas não foi um erro (bug). Foi um link de phishing.

Em fevereiro de 2025, um desenvolvedor da Safe{Wallet} clicou no que parecia ser uma mensagem de rotina. Em poucas horas, agentes norte-coreanos haviam sequestrado tokens de sessão da AWS, contornado a autenticação de múltiplos fatores e drenado US$ 1,5 bilhão da Bybit — o maior roubo individual na história das criptos. Nenhuma vulnerabilidade de contrato inteligente foi explorada. Nenhuma lógica on-chain falhou. O código estava bem. Os humanos não.

O Relatório de Crimes Cripto de 2026 da TRM Labs confirma o que aquele assalto prenunciava: a era da exploração de contratos inteligentes como o principal vetor de ameaça cripto acabou. Os adversários "subiram na stack", abandonando a caça por vulnerabilidades de código inéditas em favor do comprometimento da infraestrutura operacional — chaves, carteiras, assinadores e planos de controle em nuvem — que envolve protocolos de outra forma seguros.

Os Números Contam uma História Nua e Crua

Em 2025, atores ilícitos roubaram US2,87bilho~esemquase150hackseexplorac\co~esdistintas.Masadistribuic\ca~odessasperdasrevelaamudanc\careal:US 2,87 bilhões em quase 150 hacks e explorações distintas. Mas a distribuição dessas perdas revela a mudança real: **US 2,2 bilhões — 76% do total de ativos roubados — vieram de ataques de infraestrutura**, não de explorações de contratos inteligentes. Os invasores visaram chaves privadas, comprometeram credenciais de nuvem e exploraram camadas de orquestração de carteiras em entidades centralizadas.

O paradoxo é impressionante:

  • Incidentes caíram pela metade: de 410 em 2024 para cerca de 200 em 2025
  • As perdas subiram: de US2,01bilho~esparaUS 2,01 bilhões para US 2,94 bilhões
  • A perda média por evento mais do que dobrou: de aproximadamente US5milho~esparaquaseUS 5 milhões para quase US 15 milhões

Menos ataques, pagamentos maiores — a marca registrada de uma classe de adversários em maturação que aprendeu a concentrar o poder de fogo em alvos de alto valor.

Enquanto isso, o volume total de cripto ilícito atingiu o recorde histórico de US$ 158 bilhões em 2025, um aumento de 145% em relação ao ano anterior. Esse surto foi impulsionado não por pequenos criminosos, mas por atores ligados a Estados e redes financeiras sofisticadas, sendo a evasão de sanções ligada à Rússia o principal contribuidor.

Por Que os Adversários Subiram na Stack

A mudança faz sentido econômico. A auditoria de contratos inteligentes amadureceu drasticamente. Entre 2020 e 2025, a indústria despejou bilhões em auditoria de código — empresas como CertiK, Trail of Bits e OpenZeppelin construíram metodologias sistemáticas, ferramentas de verificação formal tornaram-se padrão e programas de bug bounty criaram incentivos econômicos para descobertas white-hat.

O resultado? Encontrar uma vulnerabilidade inédita de contrato inteligente em um protocolo DeFi de primeira linha exige agora substancialmente mais esforço e experiência do que há três anos. Os frutos mais baixos já foram colhidos.

Mas a infraestrutura operacional não recebeu a mesma atenção. As práticas de gestão de chaves variam enormemente em toda a indústria. As configurações de segurança em nuvem permanecem inconsistentes. E os seres humanos — o elo mais fraco em qualquer cadeia de segurança — continuam suscetíveis a ataques de engenharia social que nenhuma quantidade de auditoria de código pode prevenir.

Para adversários de alto nível, o cálculo é simples: por que passar meses procurando por um bug obscuro de reentrância quando você pode fazer phishing com um desenvolvedor que possui acesso elevado à AWS e roubar US$ 1,5 bilhão em uma única tarde?

Coreia do Norte: O Adversário Cripto Mais Perigoso do Mundo

Nenhuma discussão sobre a mudança de foco para a infraestrutura cripto está completa sem a Coreia do Norte. O Lazarus Group e seu subgrupo TraderTraitor representam o adversário cripto mais sofisticado e com mais recursos do planeta.

Em 2025, hackers norte-coreanos roubaram pelo menos US$ 2,02 bilhões em criptomoedas — um aumento de 51% em relação ao ano anterior e cerca de 60% de todos os roubos globais de cripto. Isso não foi hacking oportunista. Foi um programa nacional.

O ataque à Bybit exemplificou sua metodologia evoluída. Os agentes do TraderTraitor não procuraram bugs em contratos inteligentes. Eles identificaram um desenvolvedor específico na Safe{Wallet} com acesso elevado ao sistema, executaram uma campanha de engenharia social direcionada — provavelmente envolvendo ofertas de emprego falsas ou oportunidades de investimento — e convenceram o desenvolvedor a baixar software malicioso. A partir daí, eles sequestraram tokens de sessão da AWS, as credenciais temporárias que concedem acesso à infraestrutura de nuvem de um empregador.

Ao roubar tokens de sessão ativos em vez de senhas, os invasores contornaram o MFA inteiramente. Uma vez dentro do ambiente AWS da Safe{Wallet}, eles manipularam o processo de assinatura de transações para redirecionar US$ 1,5 bilhão em Ethereum para carteiras que eles controlavam.

Esse padrão de ataque — engenharia social para obter acesso inicial, movimento lateral através da infraestrutura de nuvem e manipulação de mecanismos de assinatura — espelha o manual de grupos de ameaça persistente avançada (APT) que visam instituições financeiras tradicionais. A diferença é que a segurança operacional das criptos ainda não alcançou o nível da ameaça.

O programa se estende além do hacking direto. Agentes da RPDC infiltram trabalhadores de TI dentro de empresas de cripto sob identidades falsas, obtendo acesso privilegiado por dentro. Esses infiltrados mapeiam sistemas internos, controles de segurança e práticas de gestão de chaves — um reconhecimento que permite os comprometimentos de alto impacto que geram as manchetes.

O Janeiro de $ 300 Milhões: O Domínio do Phishing em 2026

Se 2025 demonstrou a mudança no direcionamento para a infraestrutura, o início de 2026 confirmou isso como o novo normal. De acordo com as empresas de segurança CertiK e PeckShield, os ataques de phishing e engenharia social drenaram mais de $ 300 milhões dos usuários de cripto apenas em janeiro de 2026.

Um único ataque de personificação da Trezor de $ 284 milhões foi responsável por 71% das perdas de janeiro, ilustrando como as campanhas de engenharia social podem gerar retornos desproporcionais com uma sofisticação técnica relativamente baixa.

A IA está acelerando essa tendência. Os agentes de ameaças agora utilizam deepfakes gerados por IA, mensagens de phishing personalizadas e agentes de fraude automatizados para atingir vítimas em escala. Testes falsos de contratação de desenvolvedores — uma técnica favorita do Lazarus Group — tornaram-se quase indistinguíveis dos processos de recrutamento legítimos.

A implicação é preocupante: à medida que os smart contracts se tornam mais seguros, a superfície de ataque está mudando decisivamente para os humanos que gerenciam, implantam e interagem com esses contratos.

O Paradoxo da Auditoria

Os gastos com segurança da indústria cripto revelam uma alocação perigosa. Bilhões fluem para auditorias de smart contracts — e essas auditorias melhoraram comprovadamente a qualidade do código. Mas os dados mostram que os ataques mais caros não são mais bugs de smart contracts; são falhas na gestão de chaves.

Considere esta estatística: o tempo médio entre um protocolo DeFi passar por uma auditoria e ser explorado é de 47 dias. Entre 2020 e 2025, mais de $ 4,2 bilhões foram drenados de protocolos que haviam passado por auditorias. As auditorias não eram o problema — elas validaram o código corretamente. O problema era tudo ao redor do código: como as chaves eram armazenadas, como a autoridade de assinatura era distribuída, como os ambientes de nuvem eram configurados e como os funcionários eram treinados para reconhecer a engenharia social.

As empresas de segurança mais visionárias expandiram seu escopo adequadamente. Os frameworks modernos de auditoria de 2026 agora incluem revisão de gestão de chaves, auditoria de configuração de governança, análise de limites de confiança cross-chain, configuração de monitoramento em tempo de execução e planejamento de resposta a incidentes — uma expansão dramática em relação à abordagem de revisão de código e análise estática que definia o espaço apenas dois anos atrás.

Da Defesa de Perímetro para o Zero Trust

A segurança cripto está passando pela mesma transição arquitetônica que as finanças tradicionais completaram na última década: da defesa de perímetro para o Zero Trust.

No modelo de perímetro, a segurança se concentra em construir muros fortes — auditorias rigorosas de smart contracts, verificação formal e bug bounties. Tudo dentro do perímetro é implicitamente confiável. Este modelo falha catastroficamente quando um invasor ignora o perímetro por meio de engenharia social, como demonstrou o hack da Bybit.

A arquitetura Zero Trust assume que cada solicitação de acesso pode ser maliciosa, independentemente de sua origem. Principais protocolos DeFi como Aave e Lido começaram a integrar carteiras multi-assinatura (multi-sig) e frameworks Zero Trust para combater phishing e comprometimento de contas.

As implicações práticas para as organizações cripto incluem:

  • Computação multipartidária (MPC) para gestão de chaves: Eliminando pontos únicos de falha na autoridade de assinatura
  • Módulos de segurança de hardware (HSMs): Isolando operações criptográficas de ambientes de computação de uso geral
  • Monitoramento contínuo em tempo de execução: Detectando padrões de transações anômalos em tempo real, em vez de confiar apenas em auditorias pós-implantação
  • Cultura consciente de segurança: Treinar cada funcionário — não apenas engenheiros — para reconhecer tentativas de engenharia social
  • Manuais (playbooks) de resposta a incidentes: Preparar-se para violações como algo inevitável, em vez de tratá-las como impossíveis

O que isso significa para o TVL de $ 100B+ do DeFi

Com mais de $ 100 bilhões bloqueados em protocolos DeFi, as apostas na mudança do foco para a infraestrutura são existenciais. Atores estatais como o Lazarus Group da Coreia do Norte agora tratam a infraestrutura blockchain como alvos de inteligência, não meramente financeiros. Códigos-fonte roubados e projetos de infraestrutura de ataques anteriores permitem explorações futuras potencialmente catastróficas.

A resposta da indústria determinará se o DeFi pode sustentar as entradas de capital institucional. Os investidores institucionais avaliam o risco operacional de forma diferente dos usuários de varejo. Um protocolo com código de smart contract impecável, mas práticas fracas de gestão de chaves, representa, para um alocador sofisticado, um perfil de risco inaceitável.

A boa notícia é que existem soluções. Monitoramento em tempo de execução, assinatura baseada em MPC, arquitetura Zero Trust e detecção de ameaças impulsionada por IA são tecnologias maduras. O desafio é a adoção — particularmente entre protocolos de médio porte e entidades centralizadas que carecem dos recursos das plataformas DeFi de alto nível.

O Caminho à Frente

O relatório de 2026 da TRM Labs pinta o quadro de uma classe de adversários que está evoluindo mais rápido do que as defesas da indústria. O código está ficando melhor. A infraestrutura ao redor dele não está acompanhando o ritmo.

Três desenvolvimentos moldarão a segurança cripto nos próximos anos:

  1. Pressão regulatória: À medida que os frameworks de conformidade, como o MiCA da UE e o GENIUS Act dos EUA, exigem padrões de segurança operacional, os protocolos serão forçados a investir no endurecimento da infraestrutura juntamente com a qualidade do código.

  2. Defesa impulsionada por IA: As mesmas capacidades de IA que permitem campanhas de phishing sofisticadas podem potencializar a detecção de anomalias, análise comportamental e resposta automatizada a incidentes. A corrida armamentista entre ataque e defesa baseados em IA definirá o próximo capítulo da segurança cripto.

  3. Mercados de seguros e riscos: À medida que o seguro cripto amadurece, os subscritores precificarão as práticas de segurança operacional nos prêmios, criando incentivos financeiros para melhor gestão de chaves, controles de acesso e capacidades de resposta a incidentes.

A mensagem central do relatório da TRM Labs é clara: o perímetro de segurança cripto expandiu-se. A qualidade do código é necessária, mas não suficiente. A próxima geração de segurança cripto deve proteger não apenas os smart contracts, mas toda a pilha operacional que os rodeia — da infraestrutura em nuvem à psicologia humana.

Os adversários já subiram na pilha. É hora de as defesas da indústria seguirem o mesmo caminho.

Construir sobre uma infraestrutura blockchain segura importa mais do que nunca. BlockEden.xyz fornece serviços de RPC e API de nível empresarial em mais de 20 cadeias com confiabilidade e monitoramento integrados — o tipo de base de infraestrutura que permite que as equipes se concentrem na construção, em vez de se preocuparem com o risco operacional. Explore nosso marketplace de APIs para começar.

Share on Twitter