Em 5 de agosto de 2025, a KuCoin lançou seu mais recente Canal Semanal de Segurança, que destacou uma realidade preocupante para o ecossistema Web3. De acordo com o relatório, que utilizou dados da empresa de segurança blockchain SlowMist, incidentes de segurança em julho de 2025 resultaram em perdas totais de aproximadamente US$ 147 milhões. Esses números vão além de uma contagem sombria; eles servem como um lembrete claro de que o risco não é uma anomalia no mundo cripto. É uma realidade inerente e multifacetada que afeta todos os participantes, desde desenvolvedores até o usuário médio.
Uma análise mais detalhada dos principais ataques do mês revela três categorias distintas de risco que, juntas, definem os desafios de segurança do Web3.
Contratos Inteligentes: A Lâmina de Dois Gumes do Web3
Para muitos, a promessa do Web3 reside em sua dependência de códigos imutáveis. Mas, como mostram os incidentes de julho, um único erro lógico pode ser catastrófico. A plataforma de negociação descentralizada GMX sofreu um prejuízo de mais de US$ 42 milhões depois que atacantes exploraram uma sutil vulnerabilidade na lógica do sistema Keeper. Manipulando como o protocolo lidava com posições curtas e atualizações de preços, os hackers conseguiram inflar o preço do GLP, lucrando com um resgate massivo.
Da mesma forma, o ataque à ponte cross-chain ZKSwap, que resultou em uma perda de US$ 5 milhões, decorreu de uma falha fundamental. O mecanismo de prova de conhecimento zero—um recurso de segurança essencial—não estava sendo realmente verificado, permitindo que um invasor forjasse provas de retirada e contornasse a verificação de segurança mais crucial do sistema. O caso do contrato inteligente SuperRare, que tinha um erro de baixo nível onde != foi usado em vez de ==, também destaca esse ponto. [2] Esses ataques ressaltam uma verdade crítica: em um sistema baseado em código, até mesmo um pequeno erro pode criar uma grande brecha de segurança.
Crédito: @SlowMist_Team no X (Twitter)
De Insiders a Keyloggers: A Superfície de Ataque do Web3 se Expande
Embora o foco geralmente esteja no código, a tendência mais alarmante de julho foi a sofisticação crescente dos ataques direcionados às pessoas por trás das plataformas. É aqui que as vulnerabilidades dos sistemas centralizados realmente vêm à tona. O ataque à CoinDCX, que custou US$ 44,2 milhões, não foi um ataque direto às carteiras, mas sim um trabalho interno facilitado por um engenheiro de software comprometido. Os atacantes se passaram por recrutadores freelancers, instalaram um keylogger no computador do funcionário, roubaram suas credenciais de login e obtiveram acesso aos sistemas internos da exchange. A prisão subsequente do engenheiro demonstra as graves consequências de tal violação, e o incidente expõe como a engenharia social continua sendo um vetor de ataque altamente eficaz. [1]
Outro exemplo, o ataque à cadeia de suprimentos da BigONE, viu hackers infiltrarem-se na rede de produção da exchange e alterarem a lógica operacional de seus sistemas de controle de risco, resultando em uma perda de US$ 27 milhões. O ataque à WOO X, que drenou US$ 14 milhões de nove contas de usuários, também foi relacionado a um ataque de phishing direcionado a um membro da equipe. Esses incidentes destacam que, por mais seguras que as carteiras frias de uma exchange sejam, sua infraestrutura interna—e os funcionários que a gerenciam—representam uma superfície de ataque significativa que os agentes mal-intencionados estão cada vez mais interessados em explorar.
Crédito: @SlowMist_Team no X (Twitter)
Risco Gerado pelo Usuário: A Última Linha de Defesa
Talvez as perdas mais trágicas sejam aquelas resultantes da falta de educação e conscientização dos usuários. O relatório inclui uma história angustiante de um usuário que perdeu 4,35 BTC—uma quantia significativa—após adquirir uma carteira fria falsa de um vendedor de terceiros em uma plataforma de e-commerce [3]. O dispositivo pré-configurado era uma armadilha, projetado para desviar fundos assim que fossem transferidos. Essa história serve como um poderoso lembrete de que a segurança não é apenas responsabilidade de plataformas e protocolos.
Para o usuário comum, os riscos do Web3 são únicos. Eles não são protegidos por seguros bancários ou departamentos tradicionais de fraude. A natureza descentralizada da tecnologia coloca uma grande responsabilidade no indivíduo, tornando a devida diligência em tudo—desde a compra de carteiras de hardware até a validação de detalhes de transações—absolutamente essencial.
Conclusão: Uma Responsabilidade Compartilhada
Os eventos de segurança de julho de 2025, detalhados no relatório da KuCoin, servem como um poderoso resumo dos riscos inerentes ao Web3. Eles demonstram que o ecossistema está sendo simultaneamente testado por falhas técnicas em contratos inteligentes, ataques humanos em entidades centralizadas e uma persistente falta de conscientização dos usuários. Os US$ 147 milhões em perdas são um alerta para toda a indústria. É um sinal claro de que a segurança não pode mais ser vista como uma reflexão tardia. Em vez disso, deve ser um esforço colaborativo integrado que envolva auditorias técnicas robustas, protocolos internos rigorosos e um compromisso generalizado com a educação do usuário. Apenas enfrentando todos os três aspectos, a indústria poderá construir um futuro digital verdadeiramente seguro e resiliente.
Referências
[1] FinanceFeeds - Engenheiro de Software da CoinDCX Preso em Roubo de Criptomoedas de US$ 44 Milhões Facilitado por Insiders, 31 de julho de 2025
[2] X(Twitter) - Alerta TI SlowMist, 28 de julho de 2025 (https://x.com/SlowMist_Team/status/1949770231733530682)
[3] X(Twitter) - Experiência de Hack de Usuário ao Comprar Carteira Fria por Canais Não Oficiais, 29 de julho de 2025 (https://x.com/0xdizai/status/1949906538497528087)