Evolução dos Padrões de Ataque na Indústria Cripto: Uma Análise de 20 Incidentes de Segurança

A BroadChain BroadChain soube que, às 19:00 de 21 de abril de 2026, o Kelp DAO sofreu uma perda de US$ 292 milhões devido a um atacante que utilizou tokens não colaterais para empréstimos na Aave, sendo apenas um exemplo em uma série recente de incidentes de segurança. Desde os US$ 285 milhões do Drift Protocol até aproximadamente US$ 30 milhões do Step Finance e cerca de US$ 23 milhões do Resolv Labs, o setor enfrenta desafios contínuos de segurança. Através da análise de 20 casos representativos na história, várias tendências-chave podem ser observadas: embora as vulnerabilidades técnicas sejam a maioria, as perdas individuais são relativamente limitadas, enquanto os ataques de permissões e engenharia social, embora menos frequentes, contribuem para a maior parte do total de perdas. A escala dos ataques de permissões continua a aumentar, com os quatro maiores incidentes de perda relacionados a grupos de hackers norte-coreanos. Simultaneamente, o campo de batalha das vulnerabilidades técnicas está migrando, com problemas de segurança em pontes cross-chain sendo especialmente proeminentes. Entre os dez projetos com maiores perdas, a Bybit perdeu US$ 1,5 bilhão em fevereiro de 2025 devido ao grupo de hackers norte-coreanos Lazarus Group, que realizou sequestro de front-end e fraude de múltiplas assinaturas; a Ronin Network perdeu US$ 624 milhões em março de 2022 devido a um ataque de engenharia social; a Poly Network perdeu US$ 611 milhões em agosto de 2021 devido a uma vulnerabilidade de permissão em contratos cross-chain; a Wormhole perdeu US$ 326 milhões em fevereiro de 2022 devido a uma vulnerabilidade na verificação de assinaturas; o Drift Protocol perdeu US$ 285 milhões em abril de 2026 devido a infiltração direcionada e um esquema de pré-assinatura; a WazirX perdeu US$ 235 milhões em julho de 2024 devido a uma invasão gradual de sua carteira de múltiplas assinaturas; a Cetus perdeu US$ 223 milhões em maio de 2025 devido a uma vulnerabilidade de overflow aritmético; a Gala Games perdeu US$ 216 milhões em maio de 2024 devido ao vazamento da chave privada de uma conta de alto privilégio; a Mixin Network perdeu US$ 200 milhões em setembro de 2023 devido ao vazamento da chave privada de um banco de dados em nuvem; e a Euler Finance perdeu US$ 197 milhões em março de 2023 devido a inconsistências na lógica de cálculo interno exploradas por um flash loan. Em casos recentes, a Hyperbridge perdeu cerca de US$ 2,5 milhões em abril de 2026 devido a uma falha na lógica de verificação de provas, e a Venus Protocol perdeu entre US$ 3,7 milhões e US$ 5 milhões em março de 2026. Esses incidentes revelam que os padrões de ataque estão evoluindo de vulnerabilidades simples em contratos inteligentes para ataques combinados mais complexos, direcionados a fraquezas na interação humano-máquina e no gerenciamento de permissões.