Os grandes episódios do ano ilustram esse paradoxo. De um lado, ataques de alto impacto contra a exchange Bybit e o protocolo Cetus responderam sozinhos por cerca de US$ 1,78 bilhão em perdas, concentrando quase metade de todo o prejuízo do semestre em dois eventos.
De outro, autoridades e empresas de análise de blockchain demonstraram capacidade crescente de rastrear fundos, recuperar parte dos valores e fortalecer a dissuasão contra grupos organizados, inclusive com a primeira recuperação significativa de recursos de um megahack de exchange por forças policiais europeias.
O retrato numérico de 2025 revela o tamanho e a natureza do desafio. Relatórios de empresas de auditoria e inteligência em blockchain apontam que, apenas no primeiro semestre, o mercado de criptoativos perdeu quase US$ 2,5 bilhões para ataques e fraudes, segundo a CertiK, enquanto outro levantamento da Hacken estima mais de US$ 3,1 bilhões em perdas no mesmo período, ultrapassando os US$ 2,85 bilhões registrados em todo o ano de 2024.
A divergência reflete diferenças metodológicas, mas o sinal é inequívoco: trata-se de um cenário de perdas recordes.
Mais relevante do que o volume, porém, é a composição dessas perdas. Explorações de controle de acesso — falhas em chaves privadas, credenciais, permissões administrativas e integrações — responderam por cerca de 59% do total, consolidando-se como o principal vetor de risco.
Vulnerabilidades em contratos inteligentes, por sua vez, representaram cerca de 8% das perdas, com aproximadamente US$ 263 milhões desviados por bugs explorados em protocolos DeFi. Golpes de rug pull, nos quais desenvolvedores abandonam projetos e drenam liquidez, e esquemas de phishing, em que as vítimas entregam dados sensíveis após serem enganadas, completam o quadro de ameaças predominantes.
O histórico ataque de aproximadamente US$ 1,5 bilhão em ether contra a Bybit expôs de forma emblemática a fragilidade de cadeias de suprimentos digitais. Em vez de uma invasão direta aos servidores centrais da empresa, criminosos exploraram a vulnerabilidade de um fornecedor externo, redirecionando fundos para carteiras sob seu controle.
No caso de Cetus, protocolos de finanças descentralizadas foram alvo de falhas de segurança exploradas em seus sistemas, resultando em ao menos US$ 250 milhões em perdas e em desvalorização abrupta de alguns tokens, que chegaram a perder quase 90% de valor em poucas horas.
Paralelamente, houve uma mudança nítida no perfil das vítimas. Se, em anos anteriores, os maiores alvos eram plataformas centralizadas, em 2025 as carteiras pessoais passaram a responder por mais de 23% de todas as perdas por roubos, segundo dados de análises de blockchain. Ao contrário de ataques a serviços, em que os fundos roubados tendem a ser rapidamente movimentados por estruturas sofisticadas de lavagem de dinheiro, crimes contra indivíduos muitas vezes deixam grandes somas “presas” na blockchain, sem uso imediato.
Estimativas apontam para mais de US$ 8,5 bilhões desviados de carteiras pessoais ainda não lavados, em contraste com cerca de US$ 1,28 bilhão retido em casos envolvendo serviços centralizados. O dado sugere que a superfície de ataque se expandiu para o usuário final, ao mesmo tempo em que a rastreabilidade inerente às blockchains limita, em parte, a eficácia da lavagem.
Os ataques também demonstraram alto grau de profissionalização. Grupos patrocinados por Estados, como o grupo Lazarus, associado à Coreia do Norte, mantiveram foco intenso em empresas de criptomoedas, vistas como alvos com barreiras de segurança e compliance menores do que as de bancos tradicionais.
Esses atores combinam expertise técnica avançada com estratégias de longo prazo, explorando integrações frágeis, sistemas legados e cadeias de fornecedores para maximizar impacto e minimizar chance de detecção precoce.
Em 2025, essa sofisticação se refletiu na exploração de bases de código antigas — como no caso da versão v1 do protocolo GMX, que voltou a ser alvo justamente por operar com trechos de código desatualizado e menos auditado.
A lição é clara: no ambiente cripto, manter sistemas “em produção” com código legado, sem trilhas de atualização, testes regressivos e auditorias recorrentes, tornou-se um risco sistêmico.
Ao mesmo tempo, a engenharia social e os ataques direcionados a chaves privadas ganharam protagonismo. Campanhas de phishing mais elaboradas, golpes de assinatura cega — em que usuários autorizam transações sem compreender seu conteúdo — e vazamentos de chaves por comprometimento de dispositivos pessoais responderam por parcelas significativas dos prejuízos, reforçando que o elo humano continua sendo um dos pontos mais frágeis da cadeia de segurança.
Nesse contexto, a custódia individual, frequentemente vista como sinônimo de soberania, mostrou-se também um campo minado para quem não adere a boas práticas de higiene digital.
Apesar do quadro de perdas bilionárias, os dados apontam para um amadurecimento estrutural da cibersegurança no mundo cripto. Em 2024, endereços associados a atividades ilícitas movimentaram cerca de US$ 40,9 bilhões em criptoativos, valor que representou apenas 0,14% de todas as transações do ano — fatia menor que os 0,34% registrados em 2023.
Em outras palavras, mesmo que os montantes absolutos envolvidos em crimes cresçam, a participação relativa do crime no volume total transacionado vem caindo, impulsionada pela transparência pública das blockchains e pela adoção de ferramentas avançadas de monitoramento, análise de risco e compliance.
A cooperação internacional também se fortaleceu. O caso da Bybit evidenciou uma nova fase dessa articulação: pela primeira vez, autoridades europeias conseguiram recuperar parte dos valores roubados em um megahack de exchange, após apreensão realizada pela polícia da Grécia.
Esse tipo de resposta demonstra que o jogo não se resume mais a uma corrida unilateral em que somente os criminosos evoluem; instituições estatais e empresas especializadas começam a ganhar musculatura para reagir com eficácia e, em alguns casos, reverter danos.
No plano regulatório, 2025 marcou movimentos decisivos, em especial no Brasil. O Banco Central estabeleceu normas específicas para o mercado de criptoativos, criando as Sociedades Prestadoras de Serviços de Ativos Virtuais (SPSAVs), sujeitas a autorização e supervisão direta da autoridade monetária.
Essas entidades terão de cumprir requisitos rigorosos de governança, transparência, controles internos, avaliação de perfil de risco dos clientes e políticas robustas de prevenção à lavagem de dinheiro e ao financiamento do terrorismo, aproximando o tratamento de criptoativos ao padrão aplicado a instituições financeiras tradicionais.
A regulamentação também definiu quais operações com cripto se enquadram como câmbio ou capitais internacionais, ampliando a rastreabilidade e o controle das transações em fronteiras jurisdicionais. Em paralelo, a Receita Federal atualizou sua regulamentação para alinhar a tributação e o reporte de criptoativos ao padrão internacional da OCDE, reforçando a exigência de informações e a cooperação entre administrações fiscais.
No conjunto, esses movimentos inserem o ecossistema de criptoativos no arcabouço institucional e regulatório, reduzindo zonas cinzentas e abrindo espaço para maior participação de investidores institucionais que até então evitavam o setor pela percepção de insegurança jurídica.
Esse alinhamento não ocorre em isolamento. O Brasil aproxima-se de marcos como o regime MiCA na União Europeia e iniciativas de supervisão mais rígida em grandes economias, que buscam equilibrar incentivo à inovação com mitigação de riscos de estabilidade financeira e uso ilícito de criptoativos.
Nesse novo ambiente, prestadores de serviços passam a enfrentar custos de conformidade mais elevados, mas, em contrapartida, ganham previsibilidade regulatória e acesso potencial a uma base mais ampla e sofisticada de clientes.
Para empresas cripto, o ano reforçou um conjunto de aprendizados considerados hoje quase incontornáveis. Primeiro, a segurança deixou de ser um tema restrito à infraestrutura técnica e passou a ser encarada como questão de governança: conselhos, fundos de investimento e grandes clientes institucionais pressionam por políticas claras de gestão de risco, planos de resposta a incidentes e transparência sobre auditorias externas.
Segundo pesquisa sobre criptoeconomia no Brasil em 2025, a cibersegurança entrou definitivamente na pauta estratégica do setor, em paralelo a temas como conformidade regulatória e prevenção à fraude.
Na prática, isso se traduz em medidas como adoção ampliada de esquemas de múltiplas assinaturas, uso de carteiras de hardware para armazenamento de longo prazo, segmentação de ambientes (separando carteiras quentes e frias), monitoramento contínuo de movimentações suspeitas e contratação de empresas especializadas em auditoria de contratos inteligentes.
Programas de bug bounty — recompensas a pesquisadores que reportam vulnerabilidades — e processos de revisão independente de código, antes vistos como diferenciais, caminham para se tornar requisitos mínimos de mercado em protocolos que almejam relevância global.
No nível do usuário, o debate deslocou-se da promessa de autonomia absoluta para a noção de responsabilidade digital ampliada. A crescente participação de carteiras pessoais nas estatísticas de perdas mostra que a simples posse das chaves privadas não garante proteção; sem práticas sólidas de backup, dispositivos seguros, desconfiança sistemática de links e mensagens não solicitadas e verificação rigorosa antes de assinar transações, a descentralização transforma-se em exposição.
Em resposta, plataformas têm investido em interfaces que alertam para permissões perigosas, filtros contra domínios maliciosos e mensagens educativas contextuais, ainda que tais recursos esbarrem no limite entre usabilidade e excesso de fricção.
No horizonte, a adoção crescente de soluções de custódia institucional para grandes volumes, combinada com carteiras autocustodiadas mais seguras para valores menores, tende a desenhar um cenário híbrido.
Criptoativos “de varejo” circulam em ambientes com camadas adicionais de proteção, seguros e suporte profissional, enquanto a autocustódia plena permanece como opção para perfis mais sofisticados, dispostos a assumir integralmente os riscos associados.
Em termos estruturais, 2025 reforçou uma conclusão incômoda para o discurso tecnoutópico: tecnologia, por si só, não resolve a equação da segurança. Muitos dos maiores ataques do ano exploraram erros humanos, integrações mal gerenciadas, códigos legados e lacunas de governança, não falhas intrínsecas das blockchains.
Ao mesmo tempo, a própria natureza transparente desses sistemas permitiu reduzir a participação relativa de atividades ilícitas e ampliou a capacidade de investigação e cooperação entre autoridades.
O balanço, portanto, é ambivalente, mas revelador. De um lado, um ecossistema que ainda registra perdas bilionárias anuais e enfrenta adversários altamente organizados, incluindo grupos patrocinados por Estados. De outro, um ambiente que amadurece em ritmo acelerado, incorpora práticas de cibersegurança antes restritas a grandes bancos, avança em regulação e começa a reagir de forma mais coordenada.
O mundo cripto entra na segunda metade da década com a consciência de que a promessa de autonomia financeira só será sustentável se vier acompanhada de uma cultura robusta de segurança, responsabilidade operacional e supervisão inteligente — sob pena de transformar inovação em vulnerabilidade em escala global.
Bitcoin e Ethereum continuam no centro desse tabuleiro, movimentando volumes gigantescos e servindo de termômetro para a confiança no mercado de criptoativos.
O comportamento desses ativos ao longo de ciclos de ataque e resposta, combinado ao avanço de práticas de proteção, será um dos indicadores mais claros de até que ponto os aprendizados de 2025 se traduzirão, de fato, em um ambiente mais resiliente, capaz de sustentar o crescimento sem repetir, indefinidamente, o custo das mesmas fragilidades.
