A Taxa de Phishing de US$ 306 Milhões: Por que a Maior Vulnerabilidade das Criptomoedas não é mais o Código

Em janeiro de 2026, uma pessoa atendeu uma chamada telefônica, respondeu ao que parecia ser uma pergunta de suporte rotineira e perdeu US$ 282 milhões em Bitcoin e Litecoin. Nenhum contrato inteligente foi explorado. Nenhuma chave privada foi quebrada. Nenhum oráculo foi manipulado. O invasor apenas pediu a frase semente (seed phrase) e a vítima a digitou.

Aquele incidente único — agora o maior roubo de engenharia social na história das criptos — representa mais da metade de todas as perdas do primeiro trimestre de 2026 rastreadas pela Hacken, a empresa de segurança Web3 cujo relatório trimestral tornou-se o registro de perdas mais observado do setor. Os números do primeiro trimestre de 2026 da Hacken são diretos: US$482,6 milhões roubados em 44 incidentes, com phishing e engenharia social representando US$ 306 milhões, ou 63% dos danos. Exploits de contratos inteligentes, a categoria que definiu o "verão DeFi" de hacks em 2022, contribuíram com apenas US$ 86,2 milhões.

Os números descrevem uma mudança estrutural que a indústria tem demorado a absorver. Os invasores não estão mais correndo para superar tecnicamente os desenvolvedores de Solidity. Eles estão correndo para superar os seres humanos. E a infraestrutura que construímos para nos defender contra o primeiro tipo de ataque — auditorias, recompensas por bugs (bug bounties), verificação formal — não faz quase nada para deter o segundo.

A Era dos Mega-Hacks está se Fragmentando

Durante anos, a segurança cripto parecia uma série de falhas de código catastróficas. A Ronin Bridge perdeu US$625 milhões em 2022. A Poly Network perdeu US$ 611 milhões em 2021. A Wormhole perdeu US$ 325 milhões. A narrativa era simples: encontre uma falha em uma bridge ou em um protocolo de empréstimo, drene o tesouro e desapareça através de um mixer.

Esse mundo está encolhendo visivelmente. O relatório inaugural de segurança Web3 do primeiro trimestre de 2026 da Sherlock — o primeiro grande conjunto de dados concorrente ao da Hacken — descobriu que os exploits específicos de DeFi caíram 89% em comparação ao primeiro trimestre de 2025. A verificação formal está se espalhando. As recompensas por bugs são maiores. As empresas de auditoria estão competindo em profundidade em vez de velocidade. O código está genuinamente se tornando mais seguro.

Então, por que o primeiro trimestre de 2026 ainda perdeu quase meio bilhão de dólares?

Porque a superfície de ataque migrou. O relatório da Hacken documenta 28 incidentes de contratos inteligentes totalizando US$86,2 milhões — menos e menores do que qualquer trimestre desde 2021. Mas falhas de controle de acesso (chaves privadas comprometidas e infraestrutura em nuvem) adicionaram outros US$ 71,9 milhões, e a categoria de phishing sozinha superou ambas combinadas. A era dos mega-hacks não acabou. Ela se fragmentou em centenas de incidentes menores, direcionados a humanos, que coletivamente drenam mais capital do que os exploits de bridges jamais fizeram.

O golpe da carteira de hardware (hardware wallet) de janeiro é o ponto de dados mais extremo, mas não é uma anomalia. É o sinal.

Anatomia de uma Chamada Telefônica de US$ 282 Milhões

O incidente de 10 de janeiro, reconstruído pelo investigador on-chain ZachXBT e pela empresa de segurança ZeroShadow, vale a pena ser estudado em detalhes porque expõe exatamente o quanto a engenharia social evoluiu.

O invasor se passou por um agente de suporte da "Value Wallet" da Trezor. A vítima — um detentor de longo prazo com aproximadamente 2,05 milhões de Litecoin (US$153 milhões) e 1.459 Bitcoin (US$ 139 milhões) armazenados em uma carteira de hardware — foi manipulada para revelar as credenciais de recuperação durante o que parecia ser uma chamada de suporte legítima. Os ativos foram movidos em poucas horas. O recorde anterior de engenharia social era de US$243 milhões, estabelecido em agosto de 2024. O novo recorde superou-o em US$ 39 milhões em uma única conversa.

As carteiras de hardware foram projetadas para tornar esse ataque impossível. Um dispositivo Trezor ou Ledger nunca expõe a frase semente a um computador conectado. As chaves privadas nunca saem do elemento seguro. Todo o modelo de ameaça assume que o usuário não será alvo de engenharia social para digitar a frase de recuperação em um formulário de phishing.

Essa suposição falhou. E falhou de uma forma que nenhuma auditoria, recompensa por bug ou verificação formal poderia ter detectado. O hardware funcionou perfeitamente. O humano não.

Esta é a parte desconfortável do primeiro trimestre de 2026: quanto melhores as primitivas criptográficas se tornam, mais concentrado fica o valor por trás delas e mais lucrativo se torna o ataque de engenharia social. Uma única chamada de phishing bem-sucedida agora vale mais do que a maioria dos exploits de protocolo. A economia unitária favorece o phisher.

Quando 18 Auditorias Ainda Não São Suficientes

Se o incidente de janeiro é a história do phishing, a história da fadiga de auditoria vive nos protocolos que foram hackeados apesar de fazerem tudo certo.

Seis projetos auditados foram explorados durante o primeiro trimestre de 2026, de acordo com a Hacken. Um deles — Resolv Labs — passou por 18 auditorias separadas antes que os invasores explorassem uma fraqueza em seu AWS Key Management Service (KMS), emitissem cerca de 80 milhões de tokens da stablecoin USR sem lastro e extraíssem cerca de US$ 25 milhões. A violação não visou o código Solidity da Resolv. Visou as credenciais de nuvem que os engenheiros da Resolv usaram para implantá-lo.

O Venus Protocol, outro projeto auditado, perdeu US$ 2,15 milhões para um "ataque de doação" (donation attack) em março, apesar da classe de vulnerabilidade ter sido explicitamente sinalizada em sua própria auditoria da Code4rena. A descoberta foi descartada. Cinco empresas de auditoria diferentes revisaram o código ao longo dos anos. Nenhuma delas forçou a correção do problema, e nenhuma delas poderia, porque as auditorias são consultivas. Quando o ataque de doação aconteceu, o resultado era previsível e a análise pós-morte foi dolorosa.

O padrão é agora óbvio o suficiente para ser dito claramente: um protocolo auditado com alto TVL não é mais seguro do que um não auditado com baixo TVL em termos absolutos. Ele é apenas mais atraente. Os invasores calibram o esforço para a recompensa. Um protocolo com US$500 milhões em TVL e 18 auditorias é um osso mais duro de roer do que um com US$ 5 milhões e nenhuma auditoria, mas o prêmio também é 100 vezes maior, e as mesmas fraquezas humanas — descobertas de auditoria descartadas, AWS mal configurado, funcionários clicando em links — existem em ambos os lados. As auditorias elevam o piso; elas não elevam o teto.

Esta é a parte do primeiro trimestre de 2026 que deve mais preocupar os desenvolvedores. O gasto com segurança do setor aumentou cerca de 10 vezes desde 2022, e a curva de perdas não se inclinou significativamente para baixo. O dinheiro foi para a auditoria de código. As perdas vieram de humanos, da nuvem e das chaves.

A Camada de Infraestrutura Torna-se a Nova Linha de Frente

O relatório do 1º trimestre de 2026 da Sherlock define a mudança com precisão: "a migração de ataques da camada de contratos inteligentes para a camada de infraestrutura."

Três incidentes do trimestre ilustram a nova geometria:

• Resolv Labs (março de 2026): Comprometimento do AWS KMS. Os atacantes nunca tocaram nos contratos inteligentes. Eles comprometeram as chaves usadas para assinar implantações e cunharam tokens do nada.
• Drift Protocol (1º de abril de 2026): $ 286 milhões drenados da maior DEX de perpétuos da Solana em uma operação vinculada à RPDC. Os atacantes usaram o recurso de "nonces duráveis" da Solana — uma primitiva de conveniência para transações pré-assinadas — e aplicaram engenharia social no Conselho de Segurança da Drift para assinar transações que acabaram entregando o controle administrativo. Novamente, nenhuma falha no contrato inteligente. O exploit viveu na costura entre o humano e o recurso.
• Mais de $ 40 milhões extraídos ao longo do trimestre por meio de falsas abordagens de capital de risco, malware disfarçado de atualizações de software e laptops de funcionários comprometidos (de acordo com a Hacken).

O fio condutor é que nenhum desses ataques poderia ter sido detectado pela leitura do código. Eles exploraram os locais onde o código encontra a infraestrutura: credenciais de nuvem, pipelines de CI / CD, laptops de desenvolvedores, contas do Slack, chamadas telefônicas com "agentes de suporte" e transações pré-assinadas que pareciam rotineiras no momento da assinatura e foram devastadoras no agregado.

A postura defensiva das criptos ainda não foi reorganizada em torno dessa realidade. A indústria ainda contrata mais auditores de Solidity do que engenheiros de segurança de TI. A maioria das DAOs de protocolo gasta mais em auditorias de código do que em treinamento de segurança operacional. O modelo de ameaça focado em phishing mal existe na maioria dos frameworks de segurança.

A Regulamentação Finalmente Está Alcançando — De Forma Desajeitada

O primeiro trimestre de 2026 não foi apenas um trimestre de perdas recordes. Foi um trimestre de quebra de regulamentações.

O framework MiCA da UE está passando de uma implementação faseada para uma aplicação total antes do prazo de 1º de julho de 2026. Os reguladores nacionais e a ESMA estão conduzindo revisões de supervisão, verificações pontuais e investigações. O DORA — a Lei de Resiliência Operacional Digital — tornou-se totalmente aplicável às instituições financeiras em 17 de janeiro de 2025, e suas obrigações de risco de TIC, incidentes e terceiros estão agora em vigor em toda a UE. O GENIUS Act, a primeira lei federal de stablecoins dos EUA, já está em vigor, sujeitando os emissores de stablecoins de pagamento às obrigações do Bank Secrecy Act e aos programas de conformidade de sanções. Dubai reestruturou a supervisão federal de cripto. Cingapura começou a aplicar os padrões de capital de Basileia. Na Coreia, a Bithumb — uma exchange de alto nível — recebeu um pré-aviso de suspensão parcial de negócios por seis meses por violações de AML e KYC, a primeira grande ação de fiscalização desse tipo.

No papel, tudo isso visa tornar as criptos mais seguras. Na prática, nada disso aborda diretamente o problema de phishing de $ 306 milhões. Os requisitos de conformidade do MiCA referem-se a divulgações, reservas e governança. O DORA trata da resiliência de TIC e do risco de terceiros. O GENIUS trata de AML para stablecoins. O que realmente drenou as carteiras dos usuários no primeiro trimestre — uma chamada telefônica se passando pela equipe de suporte de um fabricante de carteiras de hardware — é adjacente a todos esses frameworks, mas regulado por nenhum deles.

A lacuna cria uma assimetria estranha. Um emissor de stablecoin que esquece acidentalmente uma divulgação obrigatória pode agora ser multado em várias jurisdições. Um aplicativo de carteira que é lançado sem proteção adequada contra phishing não enfrenta quase nenhuma consequência regulatória. A superfície de conformidade está mais ampla do que nunca, mas ainda não cresceu na direção onde as perdas estão realmente ocorrendo.

Espere que isso mude. O próximo passo lógico, já em discussão nos grupos de trabalho da AMLA e do GAFI (FATF), é uma obrigação de que a "conformidade deve incluir UX anti-phishing" — um requisito de que carteiras, exchanges e provedores de custódia voltados ao consumidor demonstrem defesas ativas contra engenharia social, não apenas divulgações e reservas. Se isso chegar em 2027, chegará tarde demais para a maioria das vítimas do primeiro trimestre de 2026.

Como é um Stack de Segurança Focado em Phishing

A reorganização defensiva implícita nos números da Hacken é significativa. Não basta que os protocolos adicionem mais auditorias, ou que as exchanges publiquem mais provas de reservas, ou que as carteiras lancem primitivas criptográficas mais fortes. O stack precisa assumir que o usuário será, em algum momento, alvo de um atacante convincente, e que a primeira linha de defesa é o design, não o código.

Vários blocos de construção estão surgindo:

• Pré-visualização de transações na interface de assinatura. O "Transaction Shield" da MetaMask de 2026 simula transações antes da assinatura e sinaliza contratos inteligentes maliciosos ou scripts de drenagem. A tela sensível ao toque E-ink da Ledger Flex resolve o problema da "assinatura cega" ao renderizar cada detalhe de uma transação em uma tela segura e offline. Esses recursos não são glamorosos. Eles movem o campo de batalha da criptografia pura para a compreensão clara do usuário, que é onde a luta real está agora.

• Atestado de hardware para fluxos de alto valor. Exigir confirmação física para transações incomuns — valores acima de um limite, novas contrapartes, chamadas de contrato com dados inesperados — é barato e eficaz. A maioria das carteiras de hardware suporta isso. A maioria dos usuários não habilita.

• Treinamento de segurança operacional como um gasto ao nível do protocolo. Se seis projetos auditados perderam mais de $ 60 milhões combinados, apesar de seu código ter sido revisado dezenas de vezes, o próximo dólar marginal gasto em segurança provavelmente não deveria ir para uma 19ª auditoria. Deveria ir para treinamento de phishing, exercícios de rotação de chaves e exercícios de red-team para os signatários da multisig que controlam coletivamente o tesouro.

• Camadas de identidade de divulgação seletiva. À medida que os agentes de IA começam a executar negociações autônomas — uma superfície de ameaça separada, mas relacionada — os provedores de infraestrutura precisarão cada vez mais de identidade de agente criptográfica (KYA) ao lado do KYC tradicional. As mesmas primitivas que verificam "este agente está autorizado a agir por este humano" também tornam mais difícil para os atacantes se passarem por pessoal de suporte, membros do conselho ou administradores de protocolo.

• Certificação de segurança focada em phishing. O ponto final lógico, sugerido pela Hacken e outros, é um novo tipo de selo de segurança — um que avalia a resistência de uma carteira ou exchange à engenharia social, não apenas sua resistência a exploits de Solidity. Até que tal padrão exista, o mercado não poderá distinguir um produto resistente ao phishing de um que apenas parece seguro.

Nada disso substitui as auditorias. O código ainda precisa estar correto. Mas a fronteira mudou, e a atenção da indústria de segurança precisa mudar com ela.

A pergunta que os desenvolvedores deveriam estar fazendo em 2026

A implicação desconfortável dos números da Hacken para o 1º trimestre de 2026 é que o modelo de segurança do setor está estruturalmente precificado de forma incorreta. Sessenta e três por cento das perdas provêm de ataques direcionados a humanos que nenhuma revisão de código pode evitar e, no entanto, a esmagadora maioria dos recursos financeiros de segurança do setor ainda flui para a revisão de código.

Os desenvolvedores que serão lembrados como aqueles que acertaram em 2026 não são os que entregam o Solidity mais limpo. São aqueles que tornam mais difícil para um invasor roubar valor através do usuário — reduzindo a assinatura cega, projetando uma UX que presume a presença de adversários, investindo na segurança operacional dos funcionários com a mesma seriedade com que as tesourarias investem em auditorias, e assumindo que qualquer sistema suficientemente valioso acabará por atrair uma chamada telefônica suficientemente convincente.

A chamada telefônica de US$ 282 milhões em janeiro foi a prova de conceito mais cara que o setor já recebeu. O 1º trimestre de 2026 foi apenas o trimestre em que suas lições finalmente se tornaram impossíveis de ignorar.

---

A BlockEden.xyz opera infraestrutura de RPC e indexação de nível empresarial em mais de 27 blockchains, incluindo a segurança operacional e os controles de acesso que mantêm chaves de API, infraestrutura de assinatura e dados de clientes seguros em um modelo de ameaça focado em um cenário pós-phishing. Explore nosso marketplace de APIs para construir em uma infraestrutura projetada para as ameaças que realmente importam em 2026.

Fontes

• Hacken — Relatório de Segurança e Conformidade de Blockchain do 1º Trimestre de 2026
• Yahoo Finance — Relatório do 1º Trimestre de 2026 da Hacken Mostra Onde a Segurança Web3 Ainda Falha
• Technext24 — Hackers de cripto roubam US$ 482,6 milhões em 44 ataques no 1º trimestre de 2026
• Sherlock — O Relatório de Segurança Web3 da Sherlock para o 1º Trimestre de 2026
• CoinDesk — Hacker rouba US$ 282 milhões em cripto de uma vítima em ataque de engenharia social
• Brave New Coin — Usuário de cripto perde US$ 282 milhões em Bitcoin e Litecoin para golpe de engenharia social
• Halborn — Explicado: O Hack do Protocolo Venus (março de 2026)
• FinanceFeeds — Perdas por exploração de cripto atingem US$ 52 milhões em março, lideradas pelo exploit da Resolv
• Elliptic — Protocolo Drift explorado em US$ 286 milhões em suspeita de ataque vinculado à Coreia do Norte (DPRK)
• Chainalysis — Hack do Protocolo Drift: Como o acesso privilegiado levou a uma perda de US$ 285 milhões
• Global Relay — Navegando na Conformidade com o MiCA para Provedores de Serviços de Ativos Criptográficos
• Federal Register — Requisitos de Conformidade AML/Sanções para Emissores de Stablecoins de Pagamento Permitidos
• Ledger — Checklist de Segurança de Carteira de Cripto 2026