O Relatório Anual de Segurança 2025 da Hacken estima as perdas totais da Web3 em cerca de US$ 3,95 bilhões, um aumento de aproximadamente US$ 1,1 bilhão em relação a 2024, com pouco mais da metade atribuída a agentes de ameaça ligados à Coreia do Norte.
Um relatório compartilhado com o Cointelegraph mostra que as perdas atingiram um pico de mais de US$ 2 bilhões no primeiro trimestre do ano antes de cair para cerca de US$ 350 milhões no quarto trimestre, mas a Hacken alerta que o padrão ainda aponta para risco operacional sistêmico, e não para falhas pontuais de código.
O relatório enquadrado 2025 como um ano em que os números pioraram, mas a história subjacente ficou clara. Falhas em contratos inteligentes importam, mas as maiores perdas, e as menos recuperáveis, continuam vindo de chaves fracassadas, signatários comprometidos e processos de desligamento mal concluídos.
Controle de acesso, sem código, impulso as perdas
Segundo Hacken, falhas de controle de acesso e quebras mais amplas de segurança operacional responderam por cerca de US$ 2,12 bilhões, ou quase 54% de todas as perdas de 2025, em comparação com cerca de US$ 512 milhões decorrentes de vulnerabilidades em contratos inteligentes.
A violação da Bybit, confidencialmente, de quase US$ 1,5 bilhão, é descrita como o maior roubo individual já registrado e um dos principais motivos pelos quais clusters ligados à Coreia do Norte responderam por aproximadamente 52% do total de fundos roubados.
Reguladores detalham controles, indústria fica para trás
Yehor Rudystia, chefe de forense da Hacken Extractor, disse ao Cointelegraph que reguladores nos Estados Unidos, na União Europeia e em outros grandes regimes de licenciamento detalhando cada vez mais o que é considerado “bom” no papel, como controle de acesso baseado em funções, registros e logs, onboarding seguro e verificação de identidade, custódia de nível institucional (módulos de segurança de hardware, computação multipartidária ou multi-sig, e cold storage), além de monitoramento contínuo e detecção de anomalias.
No entanto, “como os requisitos regulatórios ainda estão se tornando princípios obrigatórios, muitas empresas da Web3 seguiram seguindo práticas inseguras ao longo de 2025”, afirmou Rudystia.
Ele indicou práticas como não revogar o acesso de desenvolvedores durante o off-boarding, usar uma única chave privada para gerenciar um protocolo e não contar com sistemas de Endpoint Detection and Response.
“Entre as mais importantes estão testes de invasão regulares, simulações de incidentes, revisões de controle de custódia e auditorias financeiras e de controles independentes”, disse Rudystia, acrescentando que grandes exchanges e custodiantes deveriam tratar isso como inegociável em 2026.
De orientações brandas a critérios rígidos
A Hacken espera que a régua suba ainda mais à medida que os supervisores avancem de orientações para critérios rigorosos.
Yevheniia Broshevan, cofundadora e CEO da Hacken, disse ao Cointelegraph: “Vemos uma oportunidade significativa para a indústria elevar seu patamar de segurança, especialmente ao adotar protocolos claros para o uso de hardware dedicado de assinatura e implementar ferramentas essenciais de monitoramento.”
Ela espera que a segurança geral melhore em 2026 com requisitos regulatórios e “os padrões mais seguros”, que devem ser impostos para proteger os fundos dos usuários.
Considerando que os clusters ligados à Coreia do Norte contribuíram para cerca de metade de todas as perdas na atribuição de Hacken, Rudystia afirmou que os reguladores e autoridades de aplicação da lei também precisam tratar os playbooks do país como uma preocupação específica de supervisão.
Ele argumentou que as autoridades deveriam exigir o compartilhamento de inteligência de ameaças em tempo real sobre indicadores ligados à Coreia do Norte, exigir avaliações de risco específicas em ataques de acesso orientados por phishing e combinar isso com “penalidades graduais por não conformidade” e proteções de porto seguro para plataformas que participem plenamente e mantenham defesas específicas contra a Coreia do Norte.
Fontecointelegraph
