Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Os antigos vetores de hack do DeFi estão desaparecendo
As finanças descentralizadas tornaram-se muito mais seguras nos últimos seis anos, e uma nova revisão das perdas de protocolo de 2020 a 2025 coloca um número bastante grande por trás dessa afirmação.
As perdas de DeFi em toda a indústria atingiram um pico de US$ 2,62 bilhões em 2022 e caíram cerca de 80%, para US$ 534 milhões em 2024. Os hacks de pontes que antes produziam manchetes de bilhões de dólares agora representam uma pequena fatia dos totais anuais, e a exploração típica hoje causa cerca de um quarto dos danos que causava no pico.
Embora esta seja certamente uma ótima notícia para a indústria de criptografia, ainda resta um pouco de risco; apenas aparece em um lugar diferente. Os principais protocolos agora implantam frequentemente o mesmo código em EthereumBase, Arbitrum, Polygon, OP Mainnet e Sonic, portanto, uma única falha agora pode drenar fundos em todas as redes que a executam ao mesmo tempo, e essa é a forma que o próximo problema sistêmico da criptografia provavelmente assumirá.
Vimos isso em novembro do ano passado, quando Balanceador Os pools estáveis composíveis V2 foram drenados em cerca de US$ 128 milhões em menos de meia hora em seis blockchains simultaneamente.
De acordo com Pesquisa de ponto de verificaçãoo invasor explorou uma falha de precisão aritmética na matemática invariável dos pools, empurrando os saldos dos tokens para um limite de arredondamento e, em seguida, encadeando as trocas em lote até que esses pequenos erros se agravassem e se esgotassem completamente.
Os contratos com a mesma vulnerabilidade foram implantados em Ethereum, Arbitrum, Base, Polygon, Sonic e OP Mainnet, então a exploração atingiu todos eles de uma vez porque a falha estava incorporada no próprio código, e esse código havia sido copiado em todos os lugares.
Como CriptoSlate relatado na época, onze auditorias separadas não conseguiram detectá-loque mostra o quão sutil essa classe de bug se tornou e por que é muito mais difícil de prever do que os ataques anteriores.
Os hacks ficaram menores à medida que as cadeias se multiplicaram
A parte encorajadora dos dados é que os ataques baratos e repetíveis que definiram os primeiros anos da criptografia foram, em sua maioria, eliminados, e as perdas totais caíram 80% em dois anos, mesmo enquanto o TVL do DeFi continuava subindo. Uma enorme queda também foi observada na perda média por incidente, que caiu de US$ 6 milhões em 2022 para US$ 1,5 milhão em 2025, um declínio de 75%.
A contagem de incidentes únicos aumentou, na verdade, para 83 em 2025, portanto, mais hacks estão acontecendo enquanto cada um causa muito menos danos, que é aproximadamente o que um campo de segurança em maturação deveria parecer.
As pontes foram a vulnerabilidade definidora em 2021 e 2022 e, só nesse segundo ano, nove explorações de pontes resultaram em perdas de 1,9 mil milhões de dólares. Esses hacks foram realmente alguns dos piores momentos da criptografia, com a Ponte Ronin sendo responsável por uma perda de US$ 624 milhões por si só.
CriptoSlate rastreou na cadeia à medida que os fundos foram transferidos através do Tornado Cash, seguido por Binance Bridge com US$ 570 milhões, Wormhole com US$ 326 milhões, Nomad com US$ 190 milhões, Harmony com US$ 100 milhões e Qubit com US$ 80 milhões.
Foi responsável por 73% de todas as perdas de DeFi naquele ano e, em 2025, a participação da ponte caiu para 3%, graças a mecanismos de verificação aprimorados, conjuntos de validadores descentralizados e uma mudança mais ampla em direção a mensagens nativas entre cadeias.
Os ataques de empréstimos instantâneos seguiram o mesmo caminho. Eles representaram 54% de todas as perdas em 2020, quando eram a técnica DeFi de assinatura, e em 2025, representaram menos de 1%, porque os protocolos adotaram defesas adaptadas especificamente para esse ataque: preços médios ponderados no tempo, Elo de corrente integrações oracle, guardas de reentrada e designs que pressupõem que um invasor pode manipular preços em uma única transação atômica.
Os compromissos de chave privada registaram um declínio semelhante, caindo de 28,7% de perdas em 2022 para 8,1% em 2025. Cada uma destas categorias encolheu pela mesma razão subjacente, que é que a indústria reconheceu um padrão repetível e construiu uma resposta padronizada para ele, e como do CryptoSlate revisão de final de ano de 2025 encontradaessas respostas foram amplamente mantidas.
O que resta é mais difícil de defender
Fechar os ataques genéricos deixou para trás uma categoria muito mais difícil: em 2025, 89,1% das perdas de DeFi vieram de explorações de lógica de protocolo, o que significa falhas em nível de código específicas de como um aplicativo foi projetado. Um hack de ponte envolve suposições de confiança reconhecíveis, e um ataque de empréstimo rápido faz parte de uma família conhecida de técnicas, portanto, ambos podem ser defendidos com padrões reutilizáveis.
No entanto, um bug de lógica de protocolo é personalizado por natureza. Ele emerge da matemática específica, dos controles de acesso ou das escolhas de composição de uma única base de código, tornando difícil defendê-lo sistematicamente, porque cada instância é seu próprio quebra-cabeça e compartilha pouco com a anterior.
A implantação de múltiplas cadeias é o que transforma um desses bugs personalizados em uma crise total. O relatório da ImmuneFi traça uma linha direta do incidente multi-cadeia definidor de 2021, aproximadamente Exploração da Poly Network de US$ 611 milhõespara Balanceador em 2025.
A Poly Network foi uma falha no ponto de conexão entre sistemas, o tipo de ponto de estrangulamento que as pontes criam, enquanto o Balancer foi a mesma lógica falhando de forma idêntica em redes que compartilham código, caminhos de signatários e suposições de verificação. Depois que uma cadeia se torna parte do mapa de implantação padrão dos principais protocolos, ela absorve a superfície de risco de tudo o que hospeda, por mais sólida que seja sua própria infraestrutura.
Isso muda a forma como se mede a segurança de um ecossistema, e o método do relatório mostra isso ao atribuir a perda total de uma exploração de múltiplas cadeias a cada cadeia afetada, na lógica de que os participantes de todas as seis redes foram expostos ao impacto total.
A desvantagem é que os números de hack de 2025 para Polygon, OP Mainnet, Base e Sonic são fortemente influenciados pela cascata do Balancer. O relatório também elimina completamente as falhas de câmbio centralizadas, razão pela qual o maior roubo único do ano, o Hack de Bybit de US$ 1,5 bilhão que o FBI atribuiu à Coreia do Norte é considerada uma falha de custódia e não de protocolo.
Numa base de perda para TVL, o nível mais seguro entre os principais ecossistemas foi Ethereum em torno de 0,42%, Solana em 0,42%, e Cadeia BNB com 0,33%, os três maiores ecossistemas DeFi por valor bloqueado, o que sugere que a escala e a segurança têm melhorado juntas, e não às custas uma da outra.
Embora essas mudanças sejam muito melhores para o protocolo médio, elas não são tão boas para o usuário médio. Agora pode ocorrer uma perda em um aplicativo que contém uma falha importada de outro lugar, e a conveniência que torna os aplicativos multi-chain atraentes é o que faz com que esse erro passe de local para compartilhado.
A criptografia criou todas essas cadeias separadas, em parte para evitar a dependência de um único sistema, e a ironia é que a execução do mesmo punhado de protocolos populares em todas elas reconstruiu a concentração de que essas cadeias deveriam escapar.
O próximo grande incidente pode parecer pequeno no dia em que ocorre (um único bug lógico em um protocolo amplamente implantado), mas revela seu verdadeiro tamanho apenas quando as pessoas percebem que o mesmo código vulnerável estava presente em meia dúzia de redes o tempo todo.
