Saltar para o conteúdo principal

Hacken T1 2026: US$ 482M Roubados e o Trimestre que Quebrou a Religião 'Audit-First' da Cripto

· 15 min de leitura
Dora Noda
Dora Noda
Software Engineer

Uma pessoa perdeu US$ 282 milhões em uma única chamada telefônica. Nenhum contrato inteligente foi explorado. Nenhuma linha de Solidity foi tocada. Um falso representante de suporte de TI orientou um detentor de cripto através de um fluxo de "recuperação" de carteira de hardware em 10 de janeiro de 2026 e saiu com mais Bitcoin e Litecoin do que a maioria dos protocolos DeFi detém em valor total bloqueado (TVL). Esse único incidente — maior do que o Drift, maior do que o Kelp DAO por si só — representa mais da metade de cada dólar que a Web3 perdeu no primeiro trimestre de 2026.

O Relatório de Conformidade e Segurança de Blockchain do 1º Trimestre de 2026 da Hacken situa o trimestre completo em US482,6milho~esemfundosroubadosem44incidentes.PhishingeengenhariasocialsozinhoslevaramUS 482,6 milhões em fundos roubados em 44 incidentes. Phishing e engenharia social sozinhos levaram US 306 milhões — 63,4% dos danos trimestrais. Explorações de contratos inteligentes contribuíram com apenas US86,2milho~es.Falhasdecontroledeacessochavescomprometidas,credenciaisdenuvem,aquisic\co~esdemultisigadicionaramoutrosUS 86,2 milhões. Falhas de controle de acesso — chaves comprometidas, credenciais de nuvem, aquisições de multisig — adicionaram outros US 71,9 milhões. A matemática é direta: para cada dólar roubado de código com bugs no último trimestre, os atacantes extraíram cerca de três e meio através das pessoas, processos e credenciais que cercam o código.

Para uma indústria que passou cinco anos tratando "auditado" como sinônimo de "seguro", os números do 1º trimestre são uma intervenção. A superfície de ataque mudou. Os gastos não.

A inversão de categoria que ninguém precificou

Durante a maior parte de 2020–2024, o ritmo trimestral da segurança cripto era previsível: uma bridge é esvaziada, um protocolo de empréstimo sofre reentrada, uma empresa de auditoria emite um post-mortem, a governança vota em uma recompensa (bounty) e os desenvolvedores reforçam as proteções contra reentrada. As explorações de contratos inteligentes dominaram a coluna de perdas trimestre após trimestre, razão pela qual a indústria construiu todo o seu aparato defensivo — bug bounties, concursos de auditoria, verificação formal, revisões pré-implantação — em torno do código.

O 1º trimestre de 2026 inverteu o gráfico. Compare as três categorias que a Hacken acompanha:

  • **Phishing / engenharia social: US306Mumacategoria,lideradaporumuˊnicoeventodeUS 306M** — uma categoria, liderada por um único evento de US 282M
  • Explorações de contratos inteligentes: US$ 86,2M em 28 incidentes
  • Controle de acesso / comprometimento de chave: US$ 71,9M

Coloque esses números ao lado do que a indústria realmente financia e a precificação incorreta é óbvia. Os orçamentos de auditoria para um protocolo DeFi de complexidade média agora variam de US60.000aUS 60.000 a US 120.000 por compromisso, e as equipes alocam cada vez mais de 15% a 20% de seu orçamento anual de desenvolvimento para ofertas de "Segurança como Serviço" (Security-as-a-Service) focadas em revisão de código. Enquanto isso, a cadeia de ataque (kill chain) de phishing que derrubou a Step Finance custou aos atacantes uma chamada de vídeo e um "deck de investidores" carregado de malware. O gasto defensivo ainda está calibrado para a distribuição de ataques de ontem.

A Hacken define a mudança de forma clara: "em vez de visar vulnerabilidades no código on-chain, os atacantes estão explorando cada vez mais fraquezas off-chain, incluindo o comportamento do usuário, a gestão de credenciais e falhas de segurança operacional". O código ficou mais difícil. Os humanos não.

Seis protocolos auditados, US$ 37,7 milhões e a ilusão do sinal de auditoria

A descoberta mais desconfortável do relatório está enterrada em uma única frase: seis protocolos auditados foram explorados no 1º trimestre de 2026, totalizando US$ 37,7 milhões em perdas. Um deles — Resolv — havia passado por 18 auditorias separadas. Outro, o Venus Protocol, teve revisões de cinco empresas diferentes.

A implicação que destrói a narrativa é que a contagem de auditorias não prevê resultados de segurança. Se houver algo, há uma anticorrelação na extremidade: protocolos com os históricos de auditoria mais pesados também tendem a deter mais TVL, movimentar mais valor e, portanto, atrair os adversários mais determinados. Você não faz phishing em um projeto de hobby; você faz phishing no protocolo cujas chaves de administração desbloqueiam US$ 290 milhões.

A própria pesquisa de parceiros da Hacken — desenvolvida ao lado de 11 exchanges e equipes de infraestrutura, incluindo KuCoin, MEXC, WhiteBIT, Bybit, Centrifuge, Global Ledger, Allium, SVRN, M0, C4 e Gray Wolf — reforça o mesmo padrão. As auditorias continuam sendo necessárias. Elas deixaram de ser suficientes. E elas nunca auditaram a superfície por onde o dinheiro do 1º trimestre realmente saiu.

Três incidentes que contam a história toda

O golpe de carteira de hardware de US$ 282 milhões em janeiro

Em 10 de janeiro, um detentor de cripto de longo prazo perdeu US$ 282 milhões em Bitcoin e Litecoin após, conforme a reconstrução de ZachXBT, entregar credenciais de recuperação durante uma chamada falsa de suporte de TI. Nenhum hack de exchange. Nenhum contrato inteligente. Nenhuma chave de administrador. Uma conversa.

O que fez este funcionar é também o que o torna generalizável: a UX das carteiras de hardware ainda roteia a recuperação através de um processo que parece quase idêntico quando legítimo e quando malicioso. Os atacantes não precisaram vencer o elemento seguro em um dispositivo Ledger — eles precisaram vencer o modelo mental do usuário sobre o que significa "minha carteira está me pedindo para recuperar". Uma vez que esse limite caiu, US$ 282 milhões se moveram sem que uma única primitiva criptográfica fosse quebrada.

Step Finance: a chamada falsa de VC

Em 31 de janeiro, aproximadamente $ 40 milhões foram drenados da tesouraria da Step Finance depois que atacantes comprometeram dispositivos pertencentes aos executivos do protocolo. O vetor inicial, conforme a própria divulgação da Step Finance, foi uma chamada falsa de um investidor de capital de risco (VC) — o tipo de reunião que uma equipe fundadora realiza vinte vezes por mês durante uma rodada de captação. Malwares entregues através de "materiais de pitch" deram aos atacantes acesso persistente aos laptops dos executivos e, a partir daí, aos fluxos de assinatura que movimentavam os fundos da tesouraria.

Este padrão — engenharia social em dispositivos de executivos, seguido de movimento lateral nas operações de tesouraria — foi agora documentado repetidamente o suficiente para que provavelmente seja melhor entendido como o manual de instruções padrão vinculado à RPDC para 2026. A divulgação de 1º de março da Bitrefill cita indicadores quase idênticos: laptop de funcionário comprometido, credencial legada exfiltrada, sobreposição no modus operandi com atividades anteriores do Lazarus / Bluenoroff.

Drift: chaves de administrador sobre nonces duráveis

O exploit do Protocolo Drift em 1º de abril drenou $ 285 milhões — mais da metade do TVL do protocolo — no que a Chainalysis e a Elliptic atribuem a atores vinculados à RPDC. A alavanca técnica foi astuta: os nonces duráveis da Solana permitem que as transações sejam assinadas com antecedência e executadas posteriormente. Entre 23 e 30 de março, o atacante preparou as transações de drenagem. Então, através de engenharia social, eles obtiveram assinaturas de membros reais do Conselho de Segurança da Drift em uma multisig com limite de 2 / 5 que havia sido migrada para timelock zero apenas alguns dias antes.

Uma vez que as assinaturas existiam, a execução foi trivial: colocar um token sem valor (CVT) em uma lista de permissões (whitelist) como colateral, depositar 500 milhões de unidades e sacar $ 285 milhões em ativos reais. A "vulnerabilidade" explorada não estava no código da Drift — o código funcionou exatamente como projetado. Estava na suposição de que os signatários da multisig nunca assinariam o que não entendiam.

Três incidentes, três superfícies diferentes, uma causa raiz compartilhada: o perímetro defensivo tinha uma lacuna entre "o contrato" e "os humanos que controlam o contrato", e todo atacante que se preze agora sabe exatamente onde essa lacuna reside.

Onde o Investimento Deve ser Feito

Se o primeiro trimestre de 2026 for o início de uma mudança duradoura na superfície de ataque, em vez de uma anomalia estatística, as implicações para os orçamentos de segurança são estruturais, não cosméticas. Uma lista curta e honesta:

  • Autenticação resistente a phishing como um requisito obrigatório, não um "controle recomendado". Isso significa FIDO2 / WebAuthn / passkeys em cada conta operacional que possa tocar em chaves, aprovar transações ou acessar infraestrutura em nuvem. O NIST já trata estes como o padrão AAL2. O setor cripto deveria tratá-los como o básico para qualquer pessoa em uma multisig.
  • Redesign da UX de carteiras de hardware no nível do fornecedor. O golpe de $ 282 milhões funcionou porque o "fluxo de recuperação iniciado pelo suporte legítimo" e o "fluxo de recuperação iniciado por um atacante em uma chamada telefônica" parecem idênticos para o usuário. Fornecedores de dispositivos — Ledger, Trezor, SafePal e os equivalentes de custódia gerenciada — são agora a linha de frente do problema antifishing, não um componente passivo nele.
  • Visualização de transações, não apenas simulação. Protocolos como o Drift obtiveram assinaturas de humanos reais que quase certamente não leram o que estavam assinando em uma forma interpretável por máquina. A próxima geração de ferramentas de assinatura (Rabby, Blockaid, Fordefi, Ledger Clear Signing) que renderizam a intenção semântica completa por transação não é mais um luxo de UX; é a diferença entre "percebemos antes de assinar" e "lemos sobre isso no Twitter depois".
  • Auditorias de segurança operacional ao lado de auditorias de código. SOC 2 Tipo II, proteção contra SIM-swap, simulações de resposta a incidentes (tabletops), aplicação de MFA resistente a phishing, EDR em nível de dispositivo em qualquer máquina que possa iniciar um fluxo de assinatura. O mundo da custódia institucional trata estes como linha de base há anos. Equipes nativas de cripto — especialmente as que executam protocolos que já possuem 18 auditorias de código — frequentemente os tratam como opcionais.
  • Orçamentos dedicados para treinamento de segurança. A maioria das tesourarias de protocolos gastará seis dígitos na próxima auditoria externa e zero em simulações de phishing para seus próprios executivos. O 1º trimestre de 2026 é o trimestre em que essa proporção deixou de ser defensável.

Nada disso substitui a auditoria de código. Exploits de contratos inteligentes ainda causaram $ 86,2 milhões no 1º trimestre, e esse número subiu 213 % em relação ao ano anterior, mesmo com a mudança no mix de ataques. Mas a indústria agora tem uma guerra em duas frentes e ainda está orçando para apenas uma.

A Camada de Conformidade

A mudança na superfície de ataque está chegando no mesmo momento em que os reguladores estão apertando os requisitos operacionais em torno das empresas de cripto. O MiCA e o DORA entraram em janelas de aplicação ativa na UE. O GENIUS Act estabeleceu a primeira estrutura federal dos EUA para stablecoins de pagamento. Dubai reestruturou sua supervisão federal de cripto. Singapura começou a aplicar padrões de capital alinhados a Basileia para provedores licenciados.

Cada um desses regimes é, funcionalmente, uma regulamentação de segurança operacional. O DORA exige especificamente testes de resiliência, relatório de incidentes e controles de risco de terceiros para entidades financeiras — disposições que mapeiam quase exatamente as categorias de falha que produziram $ 378 milhões em perdas no 1º trimestre ($ 306 milhões em phishing + $ 71,9 milhões em controle de acesso). A obrigação de conformidade e a obrigação de prevenção de perdas estão convergindo para a mesma resposta: prove que seus humanos e sua infraestrutura são tão resilientes quanto seu código.

Para corretoras, custodiantes e grandes protocolos DeFi, ser "certificado por auditoria" não é mais uma postura defensável perante os reguladores europeus ou americanos. O que o substitui parece mais com uma atestação de segurança de pilha completa: auditorias de código + controles operacionais + arquitetura antifishing + padrões de autenticação do lado do usuário + resposta transparente a incidentes.

O que isso significa para os desenvolvedores

Para as equipes que constroem em cadeias públicas em 2026 , os dados do primeiro trimestre mudam a pilha de prioridades :

  1. Assuma que suas chaves de admin são o alvo. Não o seu contrato . Desenvolva fluxos multisig , timelocks e educação de signatários em torno da premissa de que um adversário sofisticado tentará obter assinaturas legítimas de humanos legítimos por meios ilegítimos .
  2. Trate sua infraestrutura de nuvem como dentro do escopo. O comprometimento do AWS KMS da Resolv e o laptop comprometido da Bitrefill não foram casos isolados . Qualquer credencial que possa acessar uma chave de assinatura , um pipeline de implantação ou um fluxo de autorização de tesouraria deve estar sob autenticação resistente a phishing com credenciais vinculadas a hardware .
  3. Reserve orçamento para itens de linha de defesa da camada humana. Simulações de phishing . Treinamentos de resposta a incidentes . EDR para dispositivos executivos . Proteções dedicadas contra SIM - swap para qualquer pessoa com acesso publicamente conhecido . Esses itens de linha eram opcionais em 2024 . No mundo pós - primeiro trimestre de 2026 , eles são o custo real de operar um protocolo que detém dinheiro .
  4. Espere que seus usuários sejam visados diretamente. O golpe de $ 282 M prova que o phishing de usuários finais agora escala para perdas do tamanho de protocolos . A UX da carteira , a clareza das transações , o endurecimento do fluxo de recuperação e a educação dentro do produto fazem parte do produto de segurança , não do produto de crescimento .

Os protocolos que se adaptarem a esse modelo de ameaça se parecerão menos com as equipes de DeFi da era de 2023 com um PDF de auditoria e mais com as fintechs de 2026 com um CISO , um calendário de conformidade e um comitê de risco em nível de diretoria . Isso parece caro porque é caro . O custo comparável — perder $ 282 M em uma chamada telefônica — é mais alto .

A conclusão

O relatório do primeiro trimestre de 2026 da Hacken não é uma história de " a segurança está piorando " . A qualidade do contrato inteligente está genuinamente melhorando ; o aumento de 213 % YoY em dólares de exploits mascara o fato de que as defesas em nível de protocolo têm dentes reais agora . A história é que os atacantes são atores racionais , e atacantes racionais migram para a superfície produtiva menos defendida . Durante a maior parte da história das cripto , essa superfície era o código . A partir do primeiro trimestre de 2026 , são as pessoas , os processos e a infraestrutura privilegiada .

A indústria pode continuar gastando 80 % de seu orçamento de segurança nos 18 % de perdas que vêm do código — ou pode recalibrar , rapidamente , para o mundo que o golpe de janeiro de 282Mrealmentedescreveu.Onuˊmeromaisimportantedotrimestrena~oeˊ282 M realmente descreveu . O número mais importante do trimestre não é 482 M em perdas totais . É a proporção : 306Memphishingvs306 M em phishing vs 86,2 M em exploits . Esse número é um plano para onde os dólares defensivos de 2026 pertencem .

  • BlockEden.xyz opera infraestrutura de API blockchain de nível empresarial em mais de 15 + cadeias , com controles SOC 2 e ISO 27001 cobrindo a superfície operacional — gerenciamento de chaves , fluxos de trabalho de signatários , higiene de credenciais de nuvem — que o relatório do primeiro trimestre da Hacken identifica como a nova linha de frente . Explore nosso marketplace de APIs para construir em uma infraestrutura projetada para o modelo de ameaça que a Web3 realmente enfrenta em 2026 .*

Fontes

Share on Twitter