Quais são os principais riscos de segurança das criptomoedas e vulnerabilidades dos smart contracts em 2024-2025?

Vulnerabilidades em Smart Contracts: Do exploit de mint de 216 milhões $ na Gala Games à falha de aprovação de 44,7 milhões $ na Hedgey Finance

As vulnerabilidades em smart contracts tornaram-se uma das ameaças mais relevantes para o ecossistema blockchain, com exploits recentes de grande impacto a revelarem consequências financeiras catastróficas causadas por falhas de segurança. O caso Gala Games ilustra esta gravidade: os atacantes exploraram uma falha num smart contract para emitir 5 mil milhões de tokens GALA, avaliados em cerca de 216 milhões $. O atacante obteve controlo sobre um endereço administrativo e alienou rapidamente 592 milhões de tokens por 21,8 milhões $ antes de o protocolo atuar, originando uma queda de 15% no preço, de 0,0467 $ para 0,0397 $, em poucas horas.

Estes incidentes evidenciam um desafio de base nas finanças descentralizadas: a automação dos smart contracts gera novas superfícies de ataque, exigindo auditorias de segurança rigorosas e mecanismos de defesa em várias camadas. A recorrência destas vulnerabilidades entre diferentes protocolos demonstra que, à medida que a adoção da blockchain se intensifica, um quadro de segurança abrangente para smart contracts tornou-se não só vantajoso, mas absolutamente necessário para a resiliência dos protocolos e proteção dos fundos dos utilizadores.

Principais ataques à rede em 2024-2025: 2,491 mil milhões $ de perdas Web3 devido a quebras em exchanges e comprometimento de wallets

O ecossistema cripto enfrentou desafios de segurança sem precedentes em 2024-2025, com perdas superiores a 2,491 mil milhões $ resultantes de quebras em exchanges e comprometimento de wallets. Este valor representa um aumento catastrófico dos furtos em Web3, superando o total de 2024 nos primeiros seis meses de 2025.

As plataformas de exchange registaram os ataques mais graves devido a falhas de controlo de acessos e fluxos de assinaturas comprometidos. Só a Bybit perdeu 1,46 mil milhões $, enquanto o exploit à Phemex em janeiro de 2025 originou o roubo de 85 milhões $ em criptomoeda. Estas plataformas centralizadas, que gerem grandes volumes de fundos de utilizadores, tornaram-se alvos prioritários quando falhou a gestão das chaves privadas.

O comprometimento de wallets representou um risco igualmente preocupante, responsável por cerca de 69% das perdas totais do 1.º semestre. O roubo de credenciais e a violação de dispositivos estiveram na base destes incidentes, com os atacantes a visarem tanto carteiras pessoais como operacionais de grandes montantes. Grupos patrocinados por Estados, em particular o Lazarus Group da Coreia do Norte, demonstraram capacidades cada vez mais sofisticadas em ataques de grande escala, levando a indústria a rever a estratégia de proteção de ativos e de infraestrutura de segurança.

Riscos de centralização: Como falhas em hot wallets de exchanges e má gestão de chaves privadas expuseram mais de 1,1 mil milhões $ em ativos de utilizadores

As exchanges centralizadas registaram falhas de segurança catastróficas, evidenciando as vulnerabilidades do armazenamento custodial de criptomoedas. O incidente da Mt. Gox em 2014 resultou na perda de cerca de 460 milhões $ em Bitcoin devido a falhas em hot wallets e má gestão de chaves privadas. Em 2017, a quebra na Coincheck expôs 530 milhões $ em criptoativos por falhas de segurança similares, enquanto o ataque à Coinrail em 2018 comprometeu outros 500 milhões $. Estes três casos, por si só, totalizam mais de 1,49 mil milhões $ em ativos de utilizadores perdidos.

A vulnerabilidade central resulta do modelo de custódia centralizada, em que as exchanges — e não os utilizadores — mantêm o controlo das chaves privadas. Este modelo cria pontos únicos de falha, vulneráveis a ataques externos e má gestão interna. As hot wallets, que mantêm ativos online para facilitar transações, apresentam uma superfície de ataque muito maior do que as soluções de cold storage. Quando as exchanges não implementam autorizações multi-signature adequadas ou mantêm padrões de encriptação insuficientes, agentes maliciosos podem aceder a toda a infraestrutura da wallet.

A expressão "not your keys, not your coins" resume este risco essencial. Ao depositarem fundos em plataformas centralizadas, os utilizadores renunciam ao controlo direto sobre os seus ativos digitais, confiando às exchanges a adoção de protocolos de segurança do setor. Contudo, a experiência demonstra que as falhas operacionais de segurança continuam a ser frequentes, sendo o comprometimento de chaves privadas o ponto de vulnerabilidade mais crítico no universo da custódia de criptomoedas.