As perdas por hacking de criptomoedas ultrapassam os 36 mil milhões de ienes, com a maioria esmagadora dos utilizadores a ignorar as medidas de segurança

Nos últimos anos, têm ocorrido incidentes de segurança com frequência no mercado de criptomoedas. De acordo com relatórios de empresas de análise de blockchain, apenas em 2024 hackers roubaram cerca de 2,2 mil milhões de dólares em ativos de criptomoedas, elevando o total de prejuízos até agora para 5 mil milhões de dólares (cerca de 360 mil milhões de ienes). No mês passado, uma grande CEX foi alvo de hacking, com aproximadamente 1,46 mil milhões de dólares em ETH sendo desviados, estabelecendo um recorde de roubo de um único token. Algumas semanas depois, uma empresa de serviços de cartões de ativos digitais também sofreu prejuízos de cerca de 49,5 milhões de dólares. Esses incidentes de segurança consecutivos evidenciam que a gestão de ativos nas plataformas de criptomoedas ainda é insuficiente.

Contexto de grandes incidentes de hacking históricos

Ao revisitar incidentes de segurança passados, observa-se que os métodos de ataque são variados. Em março de 2022, a invasão da rede Ronin resultou na saída de 625 milhões de dólares. Foi um ataque direcionado a vulnerabilidades na segurança das hot wallets, onde os nós de validação foram controlados e transações maliciosas foram executadas. Em agosto de 2021, o incidente na rede Poly resultou no roubo de 600 milhões de dólares, causado por vulnerabilidades na segurança dos contratos inteligentes.

No caso do incidente Mt.Gox em 2014, aproximadamente 850 mil bitcoins (avaliados na época em cerca de 473 milhões de dólares) foram roubados de uma das maiores plataformas do mundo, levando à sua falência. Este evento revelou a falta de mecanismos de monitoramento e uma resposta lenta a atividades suspeitas.

Em setembro de 2023, a invasão da rede Mixin causou prejuízos de cerca de 200 milhões de dólares, atribuídos a uma violação de banco de dados de um provedor de serviços em nuvem. Em março de 2023, o incidente na Euler Finance resultou na saída de aproximadamente 197 milhões de dólares devido a um ataque de flash loan.

Quatro principais métodos de hacking

Vulnerabilidades em chaves privadas e carteiras

A insegurança em hot wallets e nós é a via de invasão mais comum. Em ambientes conectados à internet, as chaves privadas são mais suscetíveis a serem roubadas por malware, ataques de phishing ou vulnerabilidades internas na plataforma. Uma vez expostas, os hackers podem transferir rapidamente os fundos, tornando a recuperação impossível.

Defeitos em contratos inteligentes

Contratos inteligentes complexos, como protocolos cross-chain, frequentemente apresentam vulnerabilidades na gestão de permissões e mecanismos de validação. Em fevereiro de 2022, o incidente Wormhole permitiu a criação ilimitada de aproximadamente 320 mil ETH encapsulados, devido a uma vulnerabilidade desse tipo, resultando no roubo de fundos.

Vulnerabilidades em sistemas e bancos de dados

Falhas na segurança do sistema da plataforma ou vazamentos de dados via provedores de serviços em nuvem representam riscos graves. Quando os sistemas de monitoramento são insuficientes, a detecção de invasões é atrasada e os prejuízos podem se ampliar.

Alterações na interface frontal e fraudes de assinatura

Incidentes recentes também mostraram ataques combinados, onde a exibição fraudulenta na interface de assinatura e a adulteração da lógica do contrato inteligente subjacente foram utilizados. Mesmo com carteiras de armazenamento frio, se o computador do desenvolvedor ou as credenciais de segurança forem comprometidas, hackers podem assinar transações maliciosas.

Cinco estratégias de defesa que os usuários devem implementar imediatamente

1. Seleção de plataformas confiáveis

A primeira linha de defesa é escolher plataformas com histórico comprovado de segurança e que divulguem suas medidas de proteção de forma transparente. Verificar registros de compensação anteriores e auditorias de segurança é fundamental.

2. Transferência de ativos para armazenamento frio

Guardar os ativos digitais em carteiras de armazenamento frio (offline) é uma regra de ouro. Em ambientes desconectados da internet, o risco de ataques online é drasticamente reduzido.

3. Uso obrigatório de autenticação de múltiplos fatores (2FA)

Associar o telefone, e-mail ou autenticadores dedicados aumenta as camadas de proteção ao fazer login. Monitorar regularmente as atividades da conta e detectar transações suspeitas precocemente também é crucial.

4. Diversificação de ativos

Não concentre todos os seus ativos em uma única plataforma ou carteira. Armazene a maior parte em cold wallets e utilize pequenas quantidades em exchanges centralizadas (CEX) para transações diárias, diversificando assim os riscos. Isso ajuda a evitar perdas totais em caso de falha de uma única plataforma.

5. Evitar confiança incondicional

A maior característica das criptomoedas é a verificabilidade. Não confie incondicionalmente em softwares ou hardwares fornecidos por desenvolvedores de carteiras ou terceiros. Considere seus dispositivos como potencialmente inseguros e revise cada transação com atenção, verificando seu conteúdo pessoalmente.

Situação atual de crise

De acordo com estudos, 90% dos usuários de criptomoedas não adotam medidas básicas de segurança. Essa é uma situação extremamente preocupante. Como as técnicas de hacking continuam evoluindo, apenas reforçar a segurança das plataformas não é suficiente.

Por fim

As estratégias de segurança em criptomoedas não devem ser reativas, mas proativas. Adotar hábitos diários de segurança, fortalecer gradualmente as defesas e prevenir riscos em cada etapa é a única maneira de minimizar prejuízos. Proteger seus ativos por si mesmo — esse é o princípio fundamental para os usuários de criptomoedas.